Jaarverslag in vogelvlucht

Jaarverslag 2001 - in vogelvlucht

College bescherming persoonsgegevens - Jaarverslag 2007

college bescherming persoonsgegevens

Juliana van Stolberglaan 4-10 2595 CL Den Haag Postbus 93374 2509 AJ Den Haag telefoon

070 888 85 00

fax

070 888 85 01

e - mail

[email protected]

internet

www.cbpweb.nl

www.mijnprivacy.nl

jaarverslag 2007

Iedereen heeft recht op een zorgvuldige omgang met zijn of haar persoonsgegevens.

Het College bescherming persoonsgegevens (CBP) houdt – onder de Wet bescherming persoonsgegevens (Wbp) – toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Bij het CBP moet het gebruik van persoonsgegevens worden gemeld, tenzij hiervoor een vrijstelling geldt.

Het College bescherming persoonsgegevens houdt toe zicht op de naleving van de wettelijke regels die zien op de bescherming van persoonsgegevens, zo nodig met behulp van sancties.

Advies, bemiddeling, onderzoek en interventie Het CBP adviseert de regering en organisaties over de bescherming van persoonsgegevens en onderwerpen die daarmee samenhangen. Het CBP toetst gedragscodes en bemiddelt in geschillen tussen burgers en gebruikers van persoonsgegevens. Op eigen initiatief of op verzoek van een belanghebbende kan het CBP onderzoeken of de manier waarop persoonsgegevens in een bepaalde

Daarbij heeft het CBP oog voor de maatschappelijke context van de aan hem voorgelegde vragen, problemen of klachten. Bij het uitvoeren en verantwoorden van zijn werkzaamheden streeft het naar een open dialoog met de samenleving en naar samenwerking met andere maatschappelijke organisaties.

situatie zijn gebruikt, in overeenstemming is met de wet en daaraan zonodig gevolgen verbinden. Voor in gebreke blijven bij de melding kan een boete worden opgelegd. Bij overtreding van de wet of daarop gebaseerde regelingen kan het CBP overgaan tot bestuursdwang of een dwangsom opleggen.

Over zijn werkzaamheden en bevindingen brengt het CBP jaarlijks een openbaar verslag uit. Het CBP is bij de uitvoering van zijn bevoegd heden gehouden aan de normen die worden gesteld in de Algemene wet bestuursrecht. Beslissingen van het CBP zijn vatbaar voor bezwaar en beroep. Het gedrag van het CBP kan onderzocht worden door de Nationale Ombudsman. Voor meer informatie kunt u kijken op de websites: www.cbpweb.nl of www.mijnprivacy.nl

Gemak…

pagina 2

Inleiding door Jacob Kohnstamm, voorzitter CBP.

Samenstelling College en Raad van Advies

pagina 6

2007 in het kort

pagina 8

Een samenvatting.

Activiteiten van het CBP

pagina 14

Internationale samenwerking, nationale samenwerking, openbaar bestuur, politie en justitie, arbeid en sociale zekerheid, gezondheidszorg, handel en diensten, internet.

Organisatie

pagina 46

Bijlagen

pagina 58

Overzichten van wetgevingsadviezen, onderzoeksrapporten, gedragscodes, model reglementen, documenten van de Europese Artikel 29-werkgroep en publicaties van het CBP.

Preface and summary

page 68

– Preface by Jacob Kohnstamm, chairman of the Dutch DPA. – Summary of activities and results in 2007.

>

Vragen en signalen In 2007 kreeg het CBP zo’n 5900 brieven, e-mails of telefoontjes binnen. Het grootste deel daarvan is afkomstig van ‘gewone mensen die niets te vrezen hebben’, maar die zich gevolgd en bespied voelen en boos zijn, zich zorgen maken of schade ondervinden door al dan niet opzettelijk onverantwoorde of onzorgvuldige verwerking van hun persoonsgegevens. Voorbeelden van deze signalen uit de samenleving zijn in kadertjes in het Activiteitenhoofdstuk opgenomen.

Jaarverslag 2007 > inhoud

Gemak … Zeker, gemak dient de mens. Een wereld zonder GSM, internet, banken creditkaart is daarom nauwelijks meer voorstelbaar. Onafhankelijk van tijd of plaats kan letterlijk alles op afstand bestudeerd, besteld en betaald worden. Daardoor wordt tijd bespaard en openen zich hele werelden die voorheen slechts voor een enkeling waren weggelegd.

Jaarverslag 2007 > inleiding

Deze in vele opzichten zegenrijke technologische ontwikkeling schept ook een bijna duivels dilemma: in ruil voor dat gemak laat iedereen van al zijn doen en laten onvermijdelijk digitale voetsporen achter, veelal zonder zich daarvan bewust te zijn. Omdat al die voetsporen tech nisch gesproken eindeloos bewaard en samengevoegd worden of kunnen worden, leven wij inmiddels in een glazen samenleving waarin even dierbare als kwetsbare gebeurtenissen uit de persoonlijke levenssfeer gebruikt, misbruikt en openbaar gemaakt worden of kunnen worden. Als die informatie daarenboven wordt ingezet in situaties waarin sprake is van machtsongelijk heid - zoals tussen overheid en burger of bedrijfsleven en consument maar ook tussen sterkere en zwakkere burgers - kan dat grote consequenties hebben. Dit is geen denkbeeldig maar eerder een onderschat gevaar. Identiteitsfraude (in de VS nu al de grootste aan misdaad gerelateerde kostenpost) is een duidelijk voorbeeld evenals discriminerende beoordeling en ongelijke behan deling (soms ook op louter statistische gronden) of de bevriezing van persoonlijke ontwik kelingsmogelijkheden en wensen. Het uiteindelijke gevolg hiervan is de ondermijning van het vertrouwen in elkaar en in de publieke en private instituties. Anders dan vaak wordt beweerd, overstijgt de beschermwaardigheid van de persoonlijke levenssfeer het belang van het individu, van gezin of van samenlevingsverband. Die bescherm waardigheid ziet uiteindelijk bovenal op de samenleving als geheel, op het collectieve belang dat gediend is met het in de praktijk daadwerkelijk respecteren van grenzen die de wetgever daartoe heeft getrokken. Die grenzen luiden, vrij weergegeven: verzamel gegevens niet dan nadat is vastgesteld dat dat noodzakelijk is; gebruik die verzamelde gegevens in beginsel niet voor een ander doel dan waarvoor ze oorspronkelijk verzameld werden en behandel verza melde gegevens ook overigens zorgvuldig en met respect. De plicht tot naleving van die wettelijke normen is natuurlijk in de eerste en belangrijkste plaats direct neergelegd bij degenen die gegevens verzamelen en verwerken. Bovendien is voor individuele burgers een laagdrempelige toegang tot de rechter gecreëerd waardoor zij in geval van schade als gevolg van schending van de wettelijke verplichtingen voor zichzelf kunnen opkomen. Maar juist omdat met de naleving van de wet uiteindelijk een collectief belang gemoeid is en niet kan worden volstaan met borging daarvan uitsluitend door individuele private partijen, heeft de wetgever een onafhankelijke toezichthouder in het leven geroepen, het College bescher ming persoonsgegevens (CBP). Het CBP heeft daartoe onder meer op handhaving gerichte bevoegdheden toegekend gekregen. Wij mogen medewerking aan onderzoek naar naleving van de wet zo nodig afdwingen en kunnen bij vastgestelde overtredingen bestuursdwang toepassen, inclusief het opleggen van daarbij behorende sancties. De vraag die wij ons – net als iedere door de overheid gefinancierde organisatie – periodiek dienen te stellen, is op welke wijze wij de ons toegewezen toezichthoudende taak met maximaal resultaat kunnen uitoefenen. Anders gezegd: hoe kunnen wij effectief bijdragen aan het voor komen en bestrijden van identiteitsfraude, van misbruik en onrechtmatig gebruik van persoons gegevens? Sinds 1998 hebben de Registratiekamer en haar opvolger het CBP die vraag beantwoord met het formuleren van vier te bewandelen sporen: het bevorderen van bewustwording en van norm ontwikkeling, het op de voet volgen van technologische ontwikkelingen en het in voorkomende gevallen handhavend optreden. In het afgelopen verslagjaar hebben wij besloten om die koers te wijzigen en onze prioriteit te verleggen naar wat voorheen het vierde spoor was. Gegeven de huidige staat van de privacy, zal door onderzoek te doen en door handhavend op te treden – kerntaak van iedere onafhanke


lijke toezichthouder – bewustwording van de normen en naleving van de wet beter en krach tiger worden gestimuleerd en afgedwongen. Alvorens handhavend op te treden dient uiter aard helderheid te worden verschaft over de normstelling op basis waarvan wij in actie zullen komen. Om die koerswijziging gericht op normstelling, onderzoek en handhaving te kunnen realiseren leggen wij waar het verzoeken om hulp en bijstand betreft, gegeven het ons toegekende budget, de prioriteit bij ernstige overtredingen met een structureel karakter en grote gevolgen voor een flink aantal burgers of voor groepen van burgers. Burgers en organisaties, die voorheen bij ons advies of hulp zouden hebben gevraagd en gekre gen, zullen we echter wel zo veel mogelijk helpen zelf zicht te krijgen op rechten en plichten die uit de Wbp voortvloeien, zodat zij zelf de nodige actie kunnen ondernemen. Wij zullen daar voor verder investeren in de content van onze twee websites. De website www.mijnprivacy.nl bevat in het bijzonder de informatie die een individuele burger nodig heeft om zelf actie te ondernemen in het geval van schending van zijn of haar rechten. De website www.cbpweb.nl bevat informatie die organisaties en professionals kunnen gebrui ken indien zij vragen hebben over de rechten en plichten die uit de wet voortvloeien. Anders gezegd: om als toezichthouder maximaal invloed uit te oefenen op naleving van de aan ons toezicht toevertrouwde wettelijke bepalingen, hebben we vorig jaar een begin gemaakt met intensivering van het algemene voorlichtingsbeleid, waardoor burgers, professionals en organi saties beter in staat worden gesteld om hun rechten en plichten te kennen en na te (doen) leven. Daarnaast hebben wij een begin gemaakt met het geven van prioriteit aan wat een efficiënte en effectieve toezichthouder te doen staat: onderzoek doen naar de wijze waarop de relevante wettelijke bepalingen worden nageleefd en bij geconstateerde overtreding daarvan handhavend ingrijpen. Uit lezing van het voorliggende jaarverslag zal blijken dat die koerswijziging in het afgelopen verslagjaar succesvol is geweest!

J. Kohnstamm voorzitter



Samenstelling college en raad van advies College 2007

mr. J. Kohnstamm

mw. mr. dr. J. Beuving

mw. mr. M.W. McLaggan

Voorzitter

Collegelid, plv. voorzitter

Collegelid (per 1 september 2006)

Jaarverslag 2007 > Samenstelling college en raad van advies

Raad van Advies 2007 mw. prof. mr. I.P. Asscher-Vonk

prof. mr. J.K.M. Gevers

Hoogleraar sociaal recht Radboud Universiteit Nijmegen, lid SER

Hoogleraar gezondheidsrecht Universiteit van Amsterdam

R. Bandell

mw. drs. K. de Jonge

Burgemeester van Dordrecht

Directeur Consumentenbond (tot 1 mei 2007, i.v.m. benoeming bij Mars, Inc. te Brussel)

prof. mr E. Dommering

Hoogleraar informatierecht Universiteit van Amsterdam

drs. R. van Ommeren

Oud-lid Raad van Bestuur ABN-AMRO mw. drs. A. van Es

Voorzitter GGZ Nederland (tot 19 november 2007, i.v.m. benoeming bij ministerie van Binnenlandse Zaken en Koninkrijksrelaties)

drs. C. Rog

Voorzitter commissie privacy VNO-NCW drs. A.D. Sixma

prof. dr. E.J. Fischer

Manager MB Digitaal Thuis bij de Consumentenbond

Bijzonder hoogleraar bedrijfsgeschiedenis Universiteit van Amsterdam

drs. L.J.E. Smits

Directeur Het Expertise Centrum prof. mr. H. Franken (voorzitter)

Hoogleraar informaticarecht Universiteit Leiden

Directie

Buitengewoon lid College 2007

mw. ing. C.E. Romanesko

mr. dr. U. van de Pol

directeur (tot 1 september 2007)

Ombudsman Amsterdam

drs. H. de Boer

(interim)directeur (vanaf 1 september 2007)

Jaarverslag 2007 > Samenstelling college en raad van advies

2007 in het kort Naleving van de Wet bescherming persoonsgegevens is niet alleen in het belang van individuele burgers. Het respecteren van een ieders persoonlijke levenssfeer dient ook een collectief belang: een samenleving waarin gewaarborgd kan worden dat wij er, om de overheid, bedrijven en instellingen én elkaar te kunnen vertrouwen, vanuit mogen gaan dat onze persoonsgegevens niet worden misbruikt.

Jaarverslag 2007 > 2007 in het kort

Om een krachtiger en meer zichtbare bijdrage te leveren aan het borgen van dit collectieve belang heeft het College bescherming persoonsgegevens in 2007 besloten in zijn werk meer nadruk te leggen op het uitvoeren van controlerend onderzoek ten behoeve van handhaving van de wettelijke regels. Prioriteit krijgt het aanpakken van ernstige overtredingen die structu reel van aard zijn en nadelige gevolgen hebben voor grote groepen burgers. Door de verrijking en verbreding van de algemene voorlichting op de website van het CBP worden burgers gestimuleerd en geholpen om hun problemen zelf op te lossen en waar nodig ook zelf actie te ondernemen. Grootschalige gegevensverzameling en -verwerking stond ook in 2007 hoog op de agenda van het CBP. In Europees verband zijn onder meer aan de orde geweest de verzameling van gege vens zowel van passagiers die vanuit Europa naar de Verenigde Staten vliegen als van passagiers binnen de EU. Op nationaal niveau springen in het oog privacyproblemen rond de OV-chipkaart en het Elektronisch Patiëntendossier. Deze en andere onderwerpen passeren hier onder in een selectie uit de activiteiten in 2007 in kort bestek de revue.

Internationale samenwerking Het CBP werkt in Europees en internationaal verband samen met andere nationale privacy toezichthouders. Op Europees niveau heeft Nederland een actieve inbreng in het adviesorgaan van EU-privacytoezichthouders, de ‘Artikel 29-werkgroep’ (WP29). De WP29 heeft in 2007 harde noten gekraakt over het voorstel van de Europese Commissie om in navolging van het PNR-verdrag met de Verenigde Staten ook binnen de EU passagiersgegevens te verzamelen, met het oog op de bestrijding van internationale criminaliteit en terrorisme. Dit is in strijd met artikel 8 van het EVRM, oordeelde CBP-voorzitter Kohnstamm. Nieuws is voorts te melden op het terrein van het financieel berichtenverkeer. Meer in het bij zonder betreft dit SWIFT, het bedrijf dat internationale overboekingen faciliteert voor banken. In 2007 werd uit berichten uit de media bekend dat SWIFT back-up gegevens van rekening houders in de Verenigde Staten aanhoudt en dat de autoriteiten van de VS toegang kunnen vorderen tot die gegevens. In strijd met hun verplichting daartoe hadden banken hun klanten hierover niet geïnformeerd. In Nederland zijn onder dreiging van handhaving door het CBP de banken er alsnog toe overgegaan hun rekeninghouders te informeren over het doorgeven van hun gegevens. In WP29-verband heeft na een gecoördineerde actie van alle nationale data beschermingsautoriteiten SWIFT aangegeven in 2009 een dataopslagvestiging in Zwitserland te zullen openen, waarmee het probleem van de verstrekkingen aan de VS van inter-Europese overboekingen wordt opgelost. Op politie- en justitiegebied wijzen de Europese toezichthouders op de blijvende noodzaak van een hoog beschermingsniveau voor persoonsgegevens die voor opsporingsdoeleinden worden uitgewisseld. Het CBP neemt op reguliere basis deel aan de Gemeenschappelijke Controle Autoriteiten binnen de EU op het gebied van politiële en justitiële samenwerking.

Nationale samenwerking Samenwerking met andere toezichthouders en organisaties die te maken hebben met gegevens verwerking leidt tot efficiënter toezicht op de naleving van de wettelijke regels die persoons gegevens beschermen en draagt tevens bij tot verbreding van het draagvlak voor privacy bescherming.

Jaarverslag 2007 > 2007 In het kort

Het CBP heeft samen met de Inspectie jeugdzorg in april 2007 een rondetafelconferentie geor ganiseerd over de beletselen die de privacywetgeving zou opwerpen tegen de uitwisseling van gegevens door hulpverleners in de strijd tegen kindermishandeling. Deze beletselen blijken er niet te zijn. Dit gezamenlijke standpunt van vertegenwoordigers van een groot aantal professio nele partijen in de jeugdzorg is overgebracht aan de minister voor Jeugd en Gezin, gekoppeld aan voorstellen voor uitwisseling van gegevens die wezenlijk kan bijdragen aan de aanpak van kindermishandeling. Op het gebied van de verwerking van persoonsgegevens in de gezondheidszorg zijn afbake ningsafspraken gemaakt met de Nederlandse Zorgautoriteit en is samen met de Inspectie voor de Gezondheidszorg onderzoek gedaan naar de beveiliging van patiëntgegevens. Andere samenwerkingsprojecten in 2007 betroffen de bewaarplicht van verkeersgegevens, het gebruik van het burgerservicenummer door het bedrijfsleven en het gezamenlijk gebruik van persoonsgegevens door het CWI, het UWV en gemeenten. Het netwerk van Functionarissen voor de Gegevensbescherming (FG’s), de onafhankelijke interne toezichthouders bij bedrijven en organisaties, heeft zich in 2007 weer uitgebreid. Het CBP heeft jaarlijks overleg met de beroepsorganisatie van FG’s. In het in 2006 op initiatief van de Tweede Kamer gestarte traject dat moet leiden tot de oprichting van een Nationaal Mensenrechteninstituut is weer een stap gezet: de vier organisaties die in het instituut zouden gaan participeren hebben in april 2007 een notitie uitgebracht over hoe de organisatie van start kan gaan. De minister van BZK heeft nog geen beslissing genomen over het voorstel.

Openbaar bestuur Het burgerservicenummer (BSN) is sinds eind november 2007 een feit. Voor het CBP treedt hier mee een nieuwe fase in. Bij de beheervoorziening BSN wordt een burgerservicepunt ingericht waar overheden en burgers met vragen terechtkunnen. Bij echte problemen met de uitvoering van de wet is het CBP als toezichthouder op de zorgvuldige omgang met persoonsgegevens de bevoegde instantie om in te grijpen. In de Gemeentelijke Basisadministratie (GBA) zijn de persoonsgegevens van de in die gemeente ingeschreven personen opgenomen. Deze administratie vormt de basis voor de uitvoering van veel overheidstaken. Het is van groot belang dat de gegevens kloppen en goed beveiligd zijn. Een maal per drie jaar moeten de gemeenten dit laten controleren. Na de aankondiging van het CBP dat het handhavend zou gaan optreden bij het niet of niet tijdig laten uitvoeren van de audits, is vergeleken met voorgaande jaren in 2007 een verbetering opgetreden in de naleving door gemeenten van hun wettelijke verplichting. Aan vier gemeenten is vorig jaar door het CBP een last onder dwangsom opgelegd. Op verzoek van de Eerste Kamer heeft het CBP eind 2007 advies uitgebracht over een wets voorstel dat de bevoegdheden voor de inlichtingen- en veiligheidsdiensten uitbreidt om in het kader van terrorismebestrijding gegevens in te winnen over reizen, betalingsverkeer en internet gebruik van burgers. Het CBP is van oordeel dat niet is aangetoond waarom deze maatregelen, bovenop de vele al bestaande, noodzakelijk zijn, en acht de gevolgen van de data-analyse voor de burger, maar ook voor de verantwoordelijken en de diensten, niet of onvoldoende onder kend. Kritiek heeft het CBP ook kenbaar gemaakt op het voorstel voor een landelijke verwijsindex risicojongeren (VIR). Het CBP stemt van harte in met het streven te komen tot betere en snellere hulpverlening aan kinderen en jongeren die in de knel zitten, maar het is nu niet duidelijk of de verwijsindex alleen hulpverlening als doelstelling heeft of ook het handhaven van de openbare orde. Er moet volledige helderheid zijn over kernbegrippen en criteria.

10


Politie en justitie Veiligheid en privacy zijn beide voor burgers onmisbaar. Maar al te vaak worden deze waarden in het publieke debat op ongenuanceerde wijze als tegenpolen tegen elkaar opgezet. Om de dis cussie weer vlot te trekken, heeft het CBP in samenwerking met de ministeries van Justitie en van Binnenlandse Zaken en Koninkrijksrelaties onderzoek laten doen naar het vinden van een juiste balans tussen het nastreven van een veilige samenleving en het waarborgen van het recht op de persoonlijke levenssfeer. Op 1 november 2007 is het externe onderzoeksrapport met hand vatten voor een doeltreffender dialoog tijdens een symposium gepresenteerd. Bij het tappen van telefoongesprekken door de politie in het kader van strafrechtelijk onderzoek worden vaak ook gesprekken tussen advocaten en hun cliënten vastgelegd. Deze gesprekken met verschoningsgerechtigde geheimhouders moeten zo spoedig mogelijk worden gewist. Uit onderzoek van het CBP bij de landelijke tapkamers blijkt dat dit in lang niet alle gevallen correct en tijdig gebeurt. Het OM heeft maatregelen ter verbetering aangekondigd. In adviezen over voorgestelde nieuwe wetgeving of andere maatregelen op het gebied van het strafrecht stelt het CBP regelmatig de vraag: is aangetoond dat de regeling echt nodig is? Is het duidelijk dat bestaande of al eerder voorgestelde wettelijke mogelijkheden tekortschieten? Het voorstel van de minister van Justitie voor een centrale databank waarin de identiteit van alle verdachten en veroordeelden worden opgeslagen, is in het licht van de toekomstige ver beterde identificatiemogelijkheden naar het oordeel van het CBP bijvoorbeeld onvoldoende gemotiveerd. En dragen de plannen van politie, Openbaar Ministerie en Koninklijke Marechaussee om van alle automobilisten – ongeacht of ze iets op hun kerfstok hebben of niet – die over de Utrechtse brug Amsterdam binnenrijden, de kentekens op te slaan, echt bij aan een veiliger samenleving?

Arbeid en sociale zekerheid Burgers zijn niet al automatisch verdacht door het simpele feit dat zij een uitkering of huur toeslag krijgen. In het project ‘Waterproof’ werden alle AOW-ers en ontvangers van een bij standsuitkering in 65 gemeenten in Friesland, Groningen en Drenthe aan de hand van gegevens over hun waterverbruik en de watervervuilingsheffing gecontroleerd op fraude. Daarnaast zijn de gegevens gebruikt voor controle op fraude met huurtoeslag. Het CBP heeft deze bestands koppelingen onderzocht en geoordeeld dat zij onrechtmatig zijn. Het bestrijden van uitkerings fraude is nodig, maar controle met behulp van bestandskoppelingen is alleen toegestaan op grond van deugdelijke risicoanalyse. Daarmee kan namelijk aannemelijk worden gemaakt dat nadere controle van een groep burgers die een grote kans loopt in de fraudezone te geraken noodzakelijk is. Als gevolg van de CBP-uitspraak wordt nu door de Sociale Inlichtingen- en Opsporingsdienst gewerkt aan de ontwikkeling van risicoanalyses met gebruikmaking van Privacy Enhancing Technology (PET). Fraudebestrijding en bescherming van persoonsgegevens kunnen op deze wijze goed hand in hand gaan. Een andere methode om uitkeringsfraude aan het licht te brengen is die van de heimelijke waar neming door sociaal rechercheurs. De wijze van verwerking van de persoonsgegevens die met deze activiteiten samenhangt is geregeld in een procesbeschrijving die door het CBP is goed gekeurd. Onderzoek in 2006 wees uit dat de naleving van de plicht om burgers te informeren over het feit dat zij waren geobserveerd te wensen over liet. De procesbeschrijving is vervolgens in 2007 aangescherpt. Mogen bij de overgang naar een nieuwe arbodienstverlener de arbodossiers van de werk nemers, zonder dat dat wettelijk geregeld is, worden overgedragen door de oude aan de nieuwe arbodienst? Nee, oordeelde het CBP in 2006. Naar aanleiding van signalen uit de praktijk dat dit


11

standpunt problemen opleverde, heeft het CBP in 2007 onderzocht of binnen de bestaande wet telijke kaders nog een andere benadering mogelijk is. Dat leidt tot de uitkomst dat er bij het overdragen verschil wordt gemaakt tussen gegevens waarop niet en waarop wel het medisch beroepsgeheim rust. In het eerste geval mogen de gegevens overgaan, in het tweede alleen onder bepaalde voorwaarden. Ook het standaard door het UWV verstrekken aan alle huidige werkgevers van gegevens over het arbeidsongeschiktheidsverleden van een nieuwe werknemer is door het CBP onderzocht, met als uitkomst dat het UWV dat alleen nog maar gaat doen als de betreffende werkgever daarbij een concreet, rechtstreeks geraakt belang heeft.

Gezondheidszorg Over het conceptwetsvoorstel dat de invoering van een elektronisch patiëntendossier (EPD) regelt, heeft het CBP een kritisch advies uitgebracht. Het openstellen van de kasten met patiën tendossiers voor alle zorgverleners brengt naar het oordeel van het CBP teveel risico’s mee met het oog op de voor bijzonder gevoelige persoonsgegevens vereiste bescherming. Noodsituaties daargelaten zouden alleen zorgverleners die een behandelrelatie met de patiënt hebben, tot het dossier toegang moeten hebben. Anders bestaat de kans dat onbevoegden met medische gege vens aan de haal gaan. Het CBP heeft in 2007 ook negatief geadviseerd over het wettelijk verplicht stellen van het Elektronisch Kinddossier jeugdgezondheidszorg in het wetsvoorstel dat ziet op jeugdgezond heidszorg en infectieziekten. De noodzaak van een centrale elektronische opslag van gegevens was niet voldoende onderbouwd. Inmiddels heeft het kabinet laten weten niet langer te streven naar een centraal elektronisch kinddossier en zoekt het naar andere manieren om berichten in de jeugdgezondheidszorg uit te wisselen. Met de minister van VWS heeft het CBP afspraken gemaakt over de inzet van Privacy Enhancing Technology bij het gebruik van gegevens in het DBC-informatiesysteem en ten behoeve van de risicoverevening in het kader van de Zorgverzekeringswet.

Handel en diensten Na de aankondiging van het CBP handhavend te zullen optreden tegen de onrechtmatige gecombineerde opslag van de naw-gegevens van reizigers en hun reisgegevens lijken de OV-bedrijven ten langen leste oog te hebben gekregen voor de Wbp-strijdige neveneffecten van de OV-chipkaart. In 2007 is onderzoek gedaan naar de werking van de kaart in een pilot in het Amsterdamse metronet, met als conclusie dat het OV-chipkaartsysteem onrechtmatig wordt toe gepast. GVB en andere openbaarvervoerbedrijven hebben inmiddels toezeggingen gedaan om de praktijk Wbp-conform te maken. In het technische ontwerp voor de gegevensopslag wordt een scheiding aangebracht tussen de naw-gegevens enerzijds en de reisbewegingen anderzijds. Daardoor wordt het risico van het onrechtmatig volgen van het reisgedrag van individuele per sonen aanmerkelijk beperkt. In 2004 heeft de Stichting Fraude Aanpak Detailhandel een waarschuwingssysteem in het leven geroepen, dat bestaat uit een centraal bestand – een ‘zwarte lijst ‘– met de persoonsgegevens van alle personeelsleden die ernstige vergrijpen hebben gepleegd. Werkgevers kunnen dit bestand raadplegen voordat zij een sollicitant in dienst nemen. Aan deze doelstelling heeft het CBP zijn goedkeuring verleend. In 2007 is onderzoek gedaan naar de werking van het systeem. Daarbij is – geheel in strijd met de destijds door de FAD zelf aangegeven grenzen – onder meer gebleken dat niet alleen personen die ernstige vergrijpen hebben gepleegd in het bestand zijn

12


opgenomen, maar ook veel – vaak jonge – werknemers die zich hebben schuldig gemaakt aan een relatief heel licht vergrijp. Daarover zijn zij in vele gevallen ook niet geïnformeerd. Het CBP heeft een aankondiging uitgevaardigd tot handhavend optreden om ervoor te zorgen dat het waarschuwingssysteem wordt gehanteerd in overeenstemming met de door de FAD in 2004 ver strekte informatie en het op basis daarvan goedgekeurde protocol. Verdere acties van het CBP betroffen zeer uiteenlopende onderwerpen: cameratoezicht in kleedruimtes van zwembaden, registratie van hotelgasten, de permanente screening van rechts personen, de naleving van de informatieplicht door particuliere recherchebureaus en het doorgeven van persoonsgegevens aan landen zonder voldoende beschermingsniveau.

Internet Persoonsgegevens worden op heel veel manieren op het internet gepubliceerd en zijn over het algemeen wereldwijd, vierentwintig uur per dag toegankelijk voor een omvangrijk en divers publiek. Voor internetgebruikers – onder wie veel kinderen – van wie de persoonsgegevens op het web staan, kunnen de gevolgen onvermoed groot zijn. Om duidelijk te maken wat wel en niet is toegestaan bij het publiceren van persoonsgegevens op internet, heeft het CBP in 2007 richtsnoeren ontwikkeld en gepubliceerd. Aan de hand van deze leidraad kunnen verantwoor delijken beoordelen of publicatie van persoonsgegevens op internet is toegestaan. Ook is veel voorlichtingsmateriaal op de CBP-site geplaatst. Ten aanzien van minderjarigen is het CBP actief in het aangeven van de regels die gelden voor sociale netwerken en voor online marketing. De overheid maakt ook gebruik van het internet. Het CBP heeft in 2007 onderzoek gedaan naar de manier waarop de gemeente Nijmegen gegevens over bouwvergunningen bekend maakt. Daarbij kwamen integraal gescande aanvraagformulieren op het net, met niet alleen gegevens over het betrokken pand en de voorgenomen verbouwing, maar ook met de persoonsgegevens van de aanvrager, inclusief handtekening. Volgens het CBP moet de gemeente alleen de ver plichte gegevens – over het bewuste pand en de voorgenomen verbouwing – op het internet plaatsen. De goede vervulling van een publiekrechtelijke taak rechtvaardigt nog niet dat een bestuurs orgaan alle gegevens automatisch op het internet publiceert. Over de privacyaspecten van actieve openbaarmaking in het kader van de Wet openbaarheid van bestuur zal het CBP in 2008 eveneens richtsnoeren uitbrengen.


13

Samenwerking internationaal

Het digitaal vastleggen van ons doen en laten houdt niet op bij de grens, of het nu gaat om reizen, werken bij een multinational of het overboeken van geld. Tegen de wind in van een groeiende hoeveelheid privacyonvriendelijke maatregelen werken privacytoezichthouders in internationaal verband en op Europees niveau intensief samen bij het bevorderen van een zo hoog mogelijk beschermingsniveau voor persoonsgegevens die worden uitgewisseld.

14

Jaarverslag 2007 > activiteiten

samenwerking internationaal Wat beschermen wij?

van individuen, onafhankelijk toezicht en gelijke behandeling van

Is de publicatie in een wetenschappelijk blad van een röntgen

iederéén, zowel Europese als Amerikaanse staatsburgers.

foto met vermelding van een – zeer ongewone– voornaam van de patiënt een persoonsgegeven? Is informatie over de waarde

Gebruik van passagiersgegevens

van een bepaalde woning te beschouwen als een persoons

Wat betreft het verstrekken van passagiersgegevens door lucht

gegeven? Of de gegevens die afkomstig zijn uit het per satelliet

vaartmaatschappijen aan de Verenigde Staten in het kader van de

volgen van taxi’s ter verbetering van de dienstverlening? Zijn

terrorismebestrijding, lijkt de trans-Atlantische kloof het afgelo

de regels voor gegevensbescherming al van toepassing vóór de

pen jaar juist minder overbrugbaar geworden. Het eerste verdrag

geboorte? Omdat het begrip ‘persoonsgegeven’ van Richtlijn

dat hierover tussen de Europese Unie en de Verenigde Staten

95/46/EG belangrijk is voor de toepassing en interpretatie van de

was gesloten, werd door een uitspraak van het Hof van Justitie

regels voor gegevensbescherming heeft de Artikel 29-werkgroep

van de EG op 30 mei 2006 vernietigd. Het tijdelijk verdrag dat

van de Europese toezichthouders er een advies over opgesteld.

daaropvolgend tussen de EU en de VS werd overeengekomen is in

Het CBP heeft een actieve inbreng gehad in het opstellen van

2007 opgevolgd door een nieuwe overeenkomst. Dit bevat naar

het advies, dat op 20 juni 2007 is goedgekeurd en gepubliceerd.

het oordeel van de gezamenlijke Europese toezichthouders nog

Het document is door het grote aantal voorbeelden goed bruik

veel ongunstiger voorwaarden dan het oorspronkelijke verdrag.

baar voor de praktijk.

Het CBP heeft de minister van Justitie in augustus 2007 gead viseerd het wetsvoorstel tot goedkeuring van het verdrag niet in

Een brug slaan over de oceaan

te dienen, omdat in het verdrag op onverantwoorde wijze met

Wordt in Europees verband gestreefd naar gezamenlijke stand

persoonsgegevens wordt omgesprongen.

punten, ook de trans-Atlantische kloof in de benadering van veiligheid en privacy kan worden verkleind. In een toespraak voor

Een net zo harde kritische noot is gekraakt over het voorstel van

de jaarlijkse Internationale Conferentie van Toezichthouders op

de Europese Commissie om ook binnen de Europese Unie pas

de bescherming van persoonsgegevens, die van 25-28 september

sagiersgegevens te verzamelen voor opsporings- en vervolgings

2007 te Montreal plaatsvond, gaf CBP-voorzitter Jacob Kohnstamm

doeleinden in de strijd tegen internationale criminaliteit en

aan hoe dit zou kunnen. Het Noordamerikaanse systeem legt de

terrorisme. “Niet noodzakelijk, technisch onhelder en in strijd

nadruk op repressie en schadevergoeding, het Europese op

met artikel 8 van het Europees Verdrag voor de rechten van de

preventie en dataminimalisatie. De verschillende benaderingen

mens”. Zo karakteriseert CBP-voorzitter Jacob Kohnstamm het

zijn onder meer het gevolg van een andere kijk op de rol van de

voorstel. De werkgroep van Europese privacytoezichthouders

overheid en hebben gevolgen voor de manier waarop privacy

(WP29) en de Working Party on Police and Justice, waarin het CBP

bescherming op beide continenten is geregeld. Kohnstamm

zitting heeft, hebben in een op 18 december 2007 aangenomen

meent dat het bij het bijeenbrengen van de wederzijdse sterke

Opinie het voorstel aangeduid als wéér een stap op de weg naar

punten denkbaar is om op een belangrijk onderdeel van het

een Europese surveillance society. Zij hebben een beroep op de

Amerikaanse rechtssysteem – vergoeding van eventuele schade

Commissie gedaan om in een open debat met alle betrokken

in plaats van de nadruk op het voorkomen daarvan – meer nadruk

partijen, waaronder luchtvaartmaatschappijen en nationale parle

te leggen. Daaraan moeten dan wel fundamentele procedurele

menten, tot een evenwichtiger benadering te komen.

eisen worden toegevoegd, zoals handhaving van de rechtspositie

>

APK-reclame “Ik kreeg gisteren aan mij gerichte reclame in de bus waarin een kentekenplaat was opgenomen met ons kenteken. Het bericht was: let op! Uw APK verloopt. Wij zijn nog nooit bij de garage die deze mailing deed geweest, en het is ook geen dealer. Wordt dit door de BOVAG of zo verspreid?”


15

> activiteiten Het Commissievoorstel voorziet in de verzameling van enorme

Uit het Financieele Dagblad van 19 maart 2007:

hoeveelheden persoonsgegevens van alle passagiers die de EU inof uitvliegen, ongeacht of zij onder verdenking staan of volstrekt onschuldige reizigers zijn. Deze data zullen met het oog op pro filering gedurende een disproportioneel lange periode van dertien jaar worden opgeslagen. Voor de strijd tegen internationaal terroris me en georganiseerde misdaad is de noodzaak van de voorgestelde excessieve gegevensverzameling niet aangetoond. Bovendien wijzen de werkgroepen er op dat de grote mate van vrijheid die de lidstaten hebben voor het uitwerken van de richtlijn kan leiden tot ongewenste verschillen in interpretatie. De rechten van de betrokkenen zijn volstrekt onvoldoende gewaarborgd en het beschermingsniveau bij de doorgifte van gegevens naar derde landen is onhelder.

SWIFT Niet alleen luchtvaartmaatschappijen, ook banken geven persoons gegevens door aan de Amerikaanse autoriteiten. Op dit terrein is in 2007 positief nieuws te melden. Het doorsluizen van bankgegevens vindt plaats, naar in de zomer van 2006 bekend is geworden, via SWIFT, een wereldwijd ope rerend dienstverlenend bedrijf voor financieel berichtenverkeer dat internationale overboekingen faciliteert. SWIFT slaat alle berichten op in twee verwerkingscentra, één in de EU en één in de VS. Sinds 9/11 verplichten de VS SWIFT bij dwangbevel om toegang te ver schaffen tot in de VS opgeslagen gegevens. Na interventie van de Artikel 29-werkgroep waarin de Europese privacytoezichthouders verenigd zijn, heeft SWIFT in 2007 aangegeven in 2009 een nieuwe dataopslagvestiging in Zwitserland te zullen openen. Daarmee zal het probleem van de verstrekkingen aan de VS van inter-Europese overboekingen worden opgelost.

“Een jaar later is de beslissing om, na de eenwording van de Europese

Een ander punt van kritiek was het feit dat rekeninghouders bij

betalingsmarkt (SEPA), puur Europese transacties niet meer te spiege-

banken niet op de hoogte zijn gesteld van het feit dat hun gege

len naar de VS een feit: het nieuwe computer centrum zal in Zwitserland

vens worden doorgegeven. Het CBP heeft actie ondernomen om

gevestigd worden.

de Nederlandse financiële instellingen hun cliënten hierover op

Kortom: na indringende besprekingen tussen het CBP en de elkaar

een correcte wijze te laten informeren. Op 9 januari 2007 heeft het

opvolgende ministers van Financiën, Gerrit Zalm en Wouter Bos, en

CBP de individuele banken geschreven dat het verwacht dat zij zul

na de nodige tussen de Europese Data Protectie Autoriteiten gecoör-

len voldoen aan de informatieplicht van art. 33 Wbp. In een brief

dineerde acties, waarbij het CBP in de richting van De Nederlandsche

van 22 maart 2007 heeft het CBP de wijze van informeren nader

Bank en de Nederlandse Vereniging van Banken de nodige pressie

gespecificeerd.

uitoefende, is het lek van de onrechtmatige verstrekking van miljoenen

Door de banken is een – inhoudelijk door het CBP goedgekeurde

bancaire gegevens van niets vermoedende Europese burgers naar de

– advertentie geplaatst in de dagbladen. Tevens hebben de banken

VS binnenkort grotendeels gedicht.

op hun websites melding gemaakt van de verstrekking van gege

De dreiging met de inzet van de handhavende bevoegdheden van het

vens naar de VS in het kader van antiterrorisme wetgeving.

CBP in deze affaire in combinatie met politieke en publicitaire pressie

Het informeren van hun cliënten doen banken vooralsnog op ver

heeft de bancaire wereld doen besluiten snel tot “compliance” met

schillende manieren. Zo hebben verschillende banken een pop-up

Europese privacy regelgeving over te gaan.”

of een link met de tekst van de advertentie binnen hun internet bankierenomgeving geplaatst en zijn banken hun cliënten schrifte lijk gaan informeren.

16


Jacob Kohnstamm

samenwerking internationaal Doorgifte persoonsgegevens door multi nationals

Europese toezichthouders: versterkt gezamenlijk toezicht op politie en justitie

De Artikel 29-werkgroep heeft de afgelopen jaren een gezamenlijk

Ruimere uitwisseling van informatie en beschikbaarstelling van

beleid ontwikkeld voor de behandeling van Binding Corporate

gegevens in het kader van opsporing aan justitie en politie in

Rules (BCR’s), interne gedragscodes van multinationale onder

andere lidstaten kan alleen als er een toereikend en geharmoni

nemingen op grond waarvan zij van de nationale toezichthouders

seerd systeem beschikbaar is voor de bescherming van persoons

een vergunning kunnen krijgen voor doorgifte van persoons

gegevens. Dit moet bovendien niet alleen gelden voor de uit

gegevens naar onderdelen van het bedrijf die in derde landen

wisseling tussen lidstaten onderling, maar ook voor de overdracht

zijn gevestigd. Op de bijeenkomst van 14 november 2007 van het

van gegevens aan derde landen en internationale instellingen. De

European Privacy Officers Network (EPON) is door het CBP een

Europese privacytoezichthouders maken zich ernstig zorgen over

presentatie gegeven over BCR’s. Bij de behandeling van de BCR’s

het verloop van de onderhandelingen over het concept Europees

wordt eerst vastgesteld welke Data Protection Authority (DPA)

Kaderbesluit over de bescherming van persoonsgegevens in de

de leidende toezichthouder, ‘lead DPA’, dient te zijn. Vervolgens

‘derde pijler’ van het EU-verdrag.

onderhandelt de lead DPA met het betreffende bedrijf over de BCR totdat er overeenstemming is over een concept-tekst. Deze

Tijdens de Europese Lenteconferentie van Data Protection

‘consolidated draft’ wordt aan de betrokken landen aangeboden

Commissioners op 10 en 11 mei 2007 op Cyprus hebben de

met het verzoek commentaar te leveren. Na instemming door

Europese toezichthouders dan ook een verklaring uitgegeven

de landen leidt dit tot een final draft die wordt rondgestuurd

waarin zij nogmaals wijzen op de absolute noodzaak van een

ter goedkeuring. Vervolgens moet in sommige landen nog een

hoog beschermingsniveau voor persoonsgegevens die voor deze

formeel traject (melding of vergunning) worden doorlopen. Het

doeleinden worden uitgewisseld en hebben ze een dringend

CBP maakt zich internationaal sterk voor verdere verbetering en

beroep gedaan op de lidstaten om de fundamentele rechten en

versnelling van de afstemmingsprocedure tussen de DPA’s van de

vrijheden van de burgers in de Unie te respecteren en te ver

lidstaten.

sterken. Het CBP heeft namens de Europese conferentie de oproep aan de minister van Justitie en aan de Eerste en Tweede Kamer doorgeleid. Om in de toekomst beter en meer te gaan samenwerken op het politie- en justitieterrein is op Cyprus op initiatief van het CBP besloten om een werkgroep voor politie en justitie in te stellen, de ‘Working Party on Police and Justice’. Aan deze werkgroep zullen vertegenwoordigers van alle 27 lidstaten deelnemen met als doel een vinger aan de pols te houden bij de ontwikkelingen op jus titieel en politieel gebied. De op Cyprus opgerichte werkgroep heeft (vooralsnog) geen officieel mandaat zoals de Artikel 29werkgroep, maar de oprichting ervan toont dat de Europese toe zichthouders vooruitlopen op hun taak en deze serieus nemen.

>

Sponsorloterij De heer X meldt dat hij op de een of andere manier wordt geconfronteerd met zaken waar hij absoluut niets mee te maken wil hebben, zoals de sponsorloterij, de staatsloterij en ‘andere onzin’. Hij wil dat er onmiddellijk een einde komt aan dit ongewenst gebruik van zijn gegevens voor ‘onzinnige reclameboodschappen’. Kan het CBP wat doen aan het tegengaan van ongewenste post?


17

> activiteiten Eurodac Eurodac is een EU-breed systeem voor het vergelijken van vinger afdrukken van asielzoekers en in de EU aangetroffen illegaal verblijvende vreemdelingen. De database is gebaseerd op een hit/ no hitsysteem: lidstaten nemen vingerafdrukken af en vergelijken deze met de in het systeem aanwezige gegevens. Op deze wijze kan worden vastgesteld welke lidstaat krachtens de Conventie van Dublin als land van eerste aanvraag verantwoordelijk is voor de behandeling van een asielverzoek. Op 17 juli 2007 is het overkoepelend rapport van de Eurodac Supervision Coordination Group verschenen over het onderzoek naar de werking van Eurodac in de EU-lidstaten. Aan de orde kwamen onder meer bijzondere zoekacties in het systeem, het gebruik van Eurodac voor andere doeleinden dan alleen het asielbeleid en de kwaliteit van de gegevens. Het CBP dat namens de Eurodac Supervision Coordination Group de inspectie in Nederland uitvoerde, concludeerde dat over het geheel genomen geen oneigenlijk gebruik is geconstateerd. Op onderdelen, zoals het informeren van de gebruikers van het systeem, is wel ver betering mogelijk. Het CBP is daarnaast door de Europese Commissie in oktober 2007 gevraagd commentaar te leveren op het voornemen van de Commissie om – vermoedelijk in het voorjaar van 2008 – een voorstel te presenteren betreffende de toegang tot Eurodac voor opsporingsautoriteiten. Het CBP heeft via de Working Party on Police and Justice de Europese Commissie, Raad en Parlement laten weten vooralsnog niet in te zien op welke wijze een der gelijke toegang gerechtvaardigd zou kunnen zijn.

>

Foto op zwarte lijst Piet werkt bij een bedrijf dat een zwarte lijst hanteert voor het terugbrengen van gereedschappen. Daarop wordt bijgehouden hoe vaak je de gereedschappen te laat hebt teruggebracht. Als dat een x aantal keren gebeurt, krijg je geen gereedschap meer mee en wordt de manager ingeschakeld. Piet is de gelukkige bij wie dit – wegens diverse omstandigheden – is gebeurd. Maar nu is er naar degenen van de afdeling waar de tools worden verstrekt een mail gestuurd met zijn foto uit het smoelenboek. Mag er een zwarte lijst zijn die ook nog eens openbaar is aangeplakt en waarop zonder toestemming foto’s zijn afgedrukt?

18


samenwerking handel internationaal en diensten

Toezichthoudende organen binnen de derde pijler van de EU Het CBP neemt op reguliere basis deel aan de Gemeenschappelijke Controle Autoriteiten (GCA’s) binnen de derde pijler van de EU, betreffende politiële en justitiële samenwerking. Enkele activiteiten passeren hieronder de revue.

Schengen De GCA Schengen voerde in 2007 meerdere onderzoeken uit. Een daarvan betrof het gebruik van signaleringen op grond van artikel 99 van de Schengen Uitvoeringsovereenkomst in alle EU-lidstaten. De signalering is mogelijk in geval van betrokkenheid bij bijzonder ernstige misdrijven ter onopvallende en gerichte controle. In december 2007 is door de GCA een rapport met de gebundelde onderzoeksresultaten uitgebracht. Een van de conclusies luidt dat in de lidstaten verschillende interpretaties bestaan over de toepassing van artikel 99, bijvoorbeeld over in welke gevallen van bijzonder ernstige misdrijven sprake is. Ook zijn soms de nationaal toepasselijke regels niet helder, is niet duidelijk wie de verant woordelijke autoriteit is of wordt de toepassing van deze signaleringsgrond door nationale veiligheidsdiensten niet volgens de voorschriften uitgevoerd. Er wordt aangedrongen op een harmonisering van de definities en uitgangspunten van artikel 99 en op duidelijke procedures voor een betere controle op de nationale toepassing ervan.

Eurojust Het CBP heeft in 2007 deelgenomen aan een tweejaarlijkse inspectie bij Eurojust, het EU-Agentschap dat de lidstaten bijstaat in de strijd tegen zware, georganiseerde en grensoverschrijdende misdaad. Naast de kwaliteit van de gegevens in het Case Management System is tevens het gebruik van het systeem onderzocht. Tevens is onderzocht of bij Eurojust is gewerkt conform de procedures voor verwerking van gegevens en of de aanbevelingen voor een betere bedrijfsvoering zijn opgevolgd. De resultaten van de audit zullen in het voorjaar van 2008 worden gerapporteerd.

Europol Europol verwerkt een grote hoeveelheid gevoelige persoonsgegevens over criminele activiteiten met het doel de samen werking van de politie van de EU-lidstaten bij de bestrijding van terrorisme, illegale drugshandel en andere ernstige vormen van internationale georganiseerde criminaliteit te verbeteren. Om de effectiviteit van Europol te verbeteren, bracht de Europese Commissie op 20 december 2006 een voorstel uit voor een nieuw Europol Besluit. Daarin worden de taken en bevoegdheden van Europol uitgebreid, krijgt de organisatie een andere juridische status en meer mogelijkheden om informatie op te slaan en te bewerken, bijvoorbeeld over terroristische groepen of over kinderpornografie. Het Gemeenschappelijk Controleorgaan van Europol (GCO) presenteerde op 5 maart 2007 een Opinie over het nieuwe Europol Besluit, waarin uitvoerig op de wijzigingsvoorstellen wordt ingegaan. Het GCO houdt de ontwikkelingen met betrekking tot dit voorstel nauwlettend in de gaten om erop toe te zien dat een hoog niveau van gegevensbescherming ook in de toekomst bij Europol zal worden gewaarborgd. Het CBP heeft daarnaast in 2007 deelgenomen aan de jaarlijkse audit van de Europol-systemen door het GCO. Het onder zoek is onder meer van groot belang voor een goede kwaliteit van de door de lidstaten aangeleverde gegevens.

Douane Informatiesysteem Op verzoek van de GCA voor het Douane Informatiesysteem (DIS) is in alle lidstaten van de Europese Unie een onder zoek uitgevoerd naar de stand van de beveiligingsmaatregelen die bij het DIS worden toegepast. Van die resultaten is een gemeenschappelijk rapport opgemaakt dat in december 2007 door de GCA is vastgesteld. Hierin is onder meer geconcludeerd dat op een aantal gebieden verbeteringen moeten worden doorgevoerd. Ook dient aan de lidstaten een technisch instrument ter beschikking te worden gesteld om het gebruik van het systeem op nationaal niveau te kunnen monitoren.


19

> activiteiten

Samenwerking nationaal

Samenwerking met andere toezichthouders en organisaties die te maken hebben met gegevensverwerking leidt tot efficiënter toezicht op de naleving van de wettelijke regels die persoons gegevens beschermen. Samenspraak met maatschappelijke bondgenoten leidt daarbij tot verbreding van het draagvlak voor de voordelen die correcte naleving van de wettelijke regels meebrengt.

20


samenwerking handel ennationaal diensten >

Blijde verwachting Dit is een terugkerende klacht. De organisatie Felicitas/ jonge gezinnen stuurt op basis van informatie die zij van derden hebben gekregen zwangerschapsfelicitaties en bijbehorende reclame. Een mevrouw die niet zwanger is krijgt drie keer deze zending met de post. In reactie op haar klacht meldt Felicitas niet te kunnen garanderen dat zij hier in de toekomst van verschoond zal blijven.

Het Nationaal Mensenrechteninstituut

mishandeling die landelijk voor alle hulpverleners in jeugdzorg en

In 2006 heeft de Tweede Kamer zich uitgesproken voor de oprich

gezondheidszorg als gemeenschappelijke leidraad kan gelden.

ting van een nationaal mensenrechteninstituut. In april 2007 verscheen de notitie Mensenrechten verbinden & verplichten. Hierin

Afbakening toezicht tussen CBP en NZa

schetsen de consortiumpartners CBP, de Nationale ombuds

De Nederlandse Zorgautoriteit (NZa) houdt op basis van de

man, de Commissie Gelijke Behandeling en het Studie- en

Zorgverzekeringswet onder meer toezicht op de verwerking van

Informatiecentrum Mensenrechten hoe het instituut kan starten.

persoonsgegevens door zorgverzekeraars. Er is gedeeltelijk sprake

De minister van Binnenlandse Zaken en Koninkrijksrelaties heeft

van een overlap in toezicht door het CBP en de NZa. Om dubbel

over het voorstel nog geen beslissing genomen.

werk te voorkomen en om de administratieve belasting voor de

Het CBP acht met de andere partners de totstandkoming van een

verzekeraars tot een verantwoord minimum te beperken, hebben

nationaal mensenrechteninstituut noodzakelijk om te voldoen

de toezichthouders in 2007 afspraken gemaakt voor een gecoör

aan internationale verplichtingen. Het instituut kan in Nederland

dineerde aanpak van het toezicht. CBP en Nza willen zo mogelijk

een gezaghebbende bijdrage leveren wanneer grondrechten bot

voorkomen dat aan zorgverzekeraars informatie wordt gevraagd

sen of in samenhang dienen te worden toegepast. In dergelijke

die één van beide toezichthouders al heeft en die bruikbaar

situaties kan het NIRM een uitspraak doen, richting geven aan het

is voor de ander. De afspraken zijn vastgelegd in een protocol

publieke debat en indien nodig ongevraagd interveniëren.

dat is ondertekend door CBP-voorzitter mr J. Kohnstamm en mr F. de Grave, voorzitter van de NZa.

Rondetafelconferentie Kindermishandeling

De NZa is vervolgens gestart met een onderzoek naar de naleving

Het College bescherming persoonsgegevens en de Inspectie

van het Addendum Zorgverzekeraars – gedragsregels voor de

jeugdzorg hebben op 23 april 2007 een rondetafelgesprek geor

verwerking van persoonsgegevens – door alle zorgverzekeraars

ganiseerd waarbij vertegenwoordigers van jeugdzorg, psychiatrie,

in Nederland. Het CBP heeft daaraan bijgedragen, onder meer

politie, onderwijs, de Inspectie voor de gezondheidszorg, diverse

door het overdragen van kennis over de zorgverzekeringssector.

medische beroepsgroepen en wetenschappers discussieerden

De resultaten van dit onderzoek worden begin 2008 verwacht

over informatie-uitwisseling met betrekking tot kindermishan

en zullen door de NZa worden gebruikt bij het prioriteren van

deling. Unaniem stelden deze professionals uit de betrokken

haar toezicht op de verwerking van persoonsgegevens door zorg

beroepsgroepen dat de Wet bescherming persoonsgegevens

verzekeraars. Zie over het Addendum verder p.37.

geen beletselen bevat die ingrijpen ten behoeve van kinderen verhinderen. Toch zijn hulpverleners vaak ten onrechte bang voor

Beveiliging patiëntgegevens

schending van de zwijgplicht. Binnen de wet is veel ruimte om

Hoe gaan ziekenhuizen om met patiëntgegevens en met de

beter gebruik te maken van de mogelijkheid om gegevens uit te

beveiliging daarvan? Uit een in 2004 door de Inspectie voor de

wisselen tussen jeugdzorg en gezondheidszorg. In plaats van een

Gezondheidszorg (IGZ) gepubliceerd onderzoeksrapport bleek

‘nee, tenzij’-benadering en een te snel beroep op de geheimhou

dat aan veilige ICT-toepassing in de zorg veel mankeerde. Er zijn

dingsplicht van de hulpverlener, moet de nadruk liggen op het

signalen dat in die situatie sindsdien niet veel verbetering is opge

goed hulpverlenerschap. Naar aanleiding van de conferentie heeft

treden. Informatiebeveiliging in de zorg betreft het toezichtterrein

het CBP in mei 2007 de minister voor Jeugd en Gezin verzocht

van zowel de IGZ als het CBP. Conform het tussen beide toezicht

een handreiking te doen opstellen voor de aanpak van kinder

houders in 2006 gesloten samenwerkingsprotocol hebben IGZ Jaarverslag 2007 > activiteiten

21

> activiteiten

samenwerking nationaal

en CBP besloten gezamenlijk onderzoek te doen naar de huidige

Bewaarplicht verkeersgegevens

stand van zaken.

Begin 2007 heeft het CBP advies uitgebracht over het wetsvoor

Voor de kwaliteit van de zorg zijn hulpverleners in toenemende

stel ter invoering van een Europese richtlijn over de bewaarplicht

mate afhankelijk van de juistheid en beschikbaarheid van elek

verkeersgegevens. Het wetsvoorstel verplicht aanbieders van

tronisch vastgelegde patiënteninformatie. Daarnaast moet de

telecomdiensten om telefoon- en e-mailgegevens gedurende

patiënt ervan uit kunnen gaan dat zijn gegevens vertrouwelijk

achttien maanden te bewaren en beschikbaar te houden voor het

worden behandeld. De vereisten waaraan ziekenhuizen op het

onderzoeken, opsporen en vervolgen van ernstige criminaliteit.

punt van de informatiebeveiliging moeten voldoen zijn nader

De Europese richtlijn schrijft een minimum bewaartermijn voor

uitgewerkt in de zogeheten NEN norm 7510. Het onderzoek heeft

van zes maanden. Naar het oordeel van het CBP wordt de nood

tot doel te peilen hoe het met de implementatie van de NEN norm

zaak van een veel langere bewaartermijn in Nederland onvol

is gesteld. Dit gebeurt aan de hand van een door TNO in opdracht

doende aangetoond. Daardoor is het wetsvoorstel in strijd met

van de IGZ en het CBP ontwikkeld toetsingsinstrument. Twintig

artikel 8 EVRM. Het CBP heeft ook kritiek op de toegang tot en

ziekenhuizen worden onderzocht. Het onderzoeksrapport zal

controle op rechtmatig gebruik van de gegevens en op de ondui

naar verwachting in de eerste helft van 2008 verschijnen. Op basis

delijkheid over welke categorieën gegevens bewaard zouden

van de resultaten zullen de toezichthouders bezien of zij vervolg

moeten worden.

stappen zullen ondernemen.

Mede naar aanleiding van dit advies is het wetsvoorstel deels aangepast. Het wetsvoorstel heeft een bijlage gekregen met een

Gezamenlijk gebruik persoonsgegevens

beschrijving van de soorten gegevens die bewaard moeten wor

Voor betere dienstverlening aan de burger en meer efficiën

den. Op het cruciale punt van de lengte van de bewaartermijn is

te uitvoering van de sociale zekerheidswetgeving werken het

het kabinet echter vast blijven houden aan een bewaartermijn van

Centrum voor Werk en Inkomen (CWI), het Uitvoeringsinstituut

18 maanden. Het CBP heeft daarom op 12 oktober 2007 samen

Werknemersverzekeringen (UWV) en de gemeenten steeds

met het Adviescollege toetsing administratieve lasten (ACTAL)

meer samen. Dienstverlening via één loket en door één vaste

en de werkgeversorganisatie VNO NCW een brief gestuurd aan

contactpersoon bevordert de klantvriendelijkheid. Het gemeen

de Tweede Kamer met de dringende oproep om te kiezen voor

schappelijk gebruik van persoonsgegevens speelt daarbij een

een bewaartermijn van 6 maanden. De behandeling van het wets

belangrijke rol.

voorstel loopt door in 2008.

De Inspectie Werk en Inkomen (IWI) en het CBP onderzoch

In 2008 zal het CBP samen met het Agentschap Telecom werken

ten samen hoe CWI, UWV en gemeentelijke sociale diensten

aan een samenwerkingsprotocol voor het toezicht op de juiste en

de bescherming van persoonsgegevens hebben geregeld op

tijdige vernietiging van bewaarde gegevens.

enkele locaties waar zij hun diensten gezamenlijk aanbieden. De onderzoeksresultaten zijn in december 2007 gepubliceerd in het rapport Samen onder één dak. De conclusie is dat bescherming van persoonsgegevens en klantvriendelijke dienstverlening aan de burger goed samen kunnen gaan. Het gezamenlijk kunnen uitvoeren van taken moet echter wel van een wettelijke basis worden voorzien.

>

Leerlingendossier “Ik heb een ingewikkelde situatie met de openbare basisschool van mijn kind. Ik heb het dossier dat zij bijhouden over mijn kind wel al ingezien, maar ik wil een kopie. Uit informatie die aan andere partijen wordt verstrekt heb ik de indruk dat ik ofwel niet alles heb gezien of dat het dossier naderhand is aangevuld of veranderd. Hoe haal ik hierin mijn recht en, belangrijker, dat van mijn kind?”

22


handel en diensten >

Kopie paspoort ‘Mag een bezorger van een bestelling aan de deur eisen dat hij een foto mag maken van mijn paspoort?’ vraagt een bezorgde klant zich af. Een producent van mobiele telefoons doet dit als regel bij bezorgingen aan huis, ‘om er zeker van te zijn dat jouw bestelling goed en bij de juiste persoon wordt afgeleverd’, zo heeft het bedrijf tevoren gemaild.

BSN in het bedrijfsleven

privacybeleid onderdeel te laten zijn van het kwaliteitsbeleid.

Al enkele jaren klinkt uit het bedrijfsleven de roep om (breder)

Vooruitlopend op de inwerkingtreding van de Wet politie

gebruik te mogen maken van het sofi-nummer, inmiddels omge

gegevens (Wpg) per 1 januari 2008 heeft het CBP samen met de

kat tot burgerservicenummer (BSN). In januari 2006 is op een

Politieacademie een succesvolle contactdag georganiseerd voor

door het CBP georganiseerde expert meeting op abstract niveau

en over de privacyfunctionaris die op grond van de Wpg een

van gedachten gewisseld over de mogelijkheden en moeilijk

wettelijke status krijgt. Deze privacyfunctionaris wordt namens

heden daarvan. In 2007 zijn stappen gezet tot nadere concre

de korpsbeheerder benoemd en ziet namens hem toe op de

tisering van de behoeften van het bedrijfsleven. Voor dit doel

verwerking van politiegegevens door het korps. De privacy

hebben het CBP en ACTAL een vervolgbijeenkomst belegd met

functionaris is enigszins te vergelijken met de Functionaris voor

vertegenwoordigers uit het bedrijfsleven. CBP en ACTAL hebben

de Gegevensbescherming. De mogelijkheid om bij de korp

geconcludeerd dat in een aantal van de daar ter tafel gekomen

sen op grond van de Wet bescherming persoonsgegevens een

situaties eenvoudige toegang tot NAW-gegevens de oplossing

Functionaris voor de Gegevensbescherming aan te stellen blijft

biedt en uitgesproken dat het op korte termijn verruimen van

bestaan.

de wettelijke mogelijkheden voor toegang tot de GBA de snelste

Het CBP en de beroepsorganisatie het Nederlands Genootschap

en meest effectieve wijze lijkt te zijn om aan een belangrijk deel

van Functionarissen voor de Gegevensbescherming hebben ook

van de wensen vanuit het bedrijfsleven tegemoet te komen. Later

in 2007 hun jaarlijks overleg gepleegd.

kan dan worden overgegaan tot een stapsgewijze uitbreiding van gebruik van het BSN door het bedrijfsleven, waarbij uiteraard wel van belang is dat voldoende garanties tegen misbruik zijn ingebouwd.

Functionarissen voor de gegevens bescherming Het aantal Functionarissen voor de Gegevensbescherming (FG’s) is in 2007 weer toegenomen. Inmiddels hebben meer dan tweehon derd organisaties een onafhankelijke interne toezichthouder aan gesteld. In december werd ook door de minister van Binnenlandse Zaken en Koninkrijksrelaties een FG bij het CBP aangemeld, zodat thans alle ministeries met uitzondering van het ministerie van Algemene Zaken een FG kennen. De FG levert een bijdrage aan het bevorderen en instandhouden van het privacybewustzijn van de organisatie, door er op toe te zien dat de organisatie en allen die daarvoor werkzaam zijn de privacyregelgeving op juiste wijze naleven. Daardoor en mede door zijn adviezen en zijn jaarverslag is de organisatie in staat om Jaarverslag 2007 > activiteiten

23

Openbaar bestuur De uitdijende mogelijkheden voor het vergaren van steeds grotere hoeveelheden gegevens over burgers vormen geen panacee voor het oplossen van bestuurlijke problemen. Steeds moet duidelijk zijn waarom bepaalde gegevens moeten worden verzameld en of er geen minder ingrijpende manier is om het probleem aan te pakken. En als er dan gegevens moeten worden verwerkt, moet steeds worden gecontroleerd of zij nog wel kloppen.

24


openbaar bestuur Burgerservicenummer: het CBP als achtervang

gedachte daarbij is dat het CBP als toezichthouder op de zorg

Met ingang van 26 november 2007 is het burgerservicenummer

vuldige omgang met persoonsgegevens de bevoegde instantie is

een feit. Op die datum is de Wet algemene bepalingen burgerser

om bij echte problemen in te grijpen.

vicenummer (Wabb) in werking getreden. Deze wet introduceert voor de overheid. De overheid dient dit nummer te gebruiken –

Steviger toezicht op audit gemeentelijke basisadministraties

wanneer zij een nummer gebruikt – bij de uitvoering van haar

De Gemeentelijke basisadministratie (GBA), waarin de persoons

publiekrechtelijke taken. Bij andere activiteiten mag zij dit num

gegevens van de in die gemeente ingeschreven personen zijn

mer niet gebruiken.

opgenomen, vormt de basis voor de uitvoering van veel over

De voordelen van het gebruik van het BSN voor een efficiënte

heidstaken. Het is daarom van groot belang dat de opgenomen

overheid zijn evident. Maar er zijn ook risico’s. Het gebruik van dit

gegevens kloppen. Gemeenten moeten hun administratie en de

nummer door overheidsorganisaties op een ongekend grote

beveiliging ervan een maal per drie jaar laten controleren. Het niet

schaal en de vele mogelijkheden, op veel eenvoudiger wijze dan

uitvoeren van deze audit vormt naar het oordeel van het CBP een

tot nu toe, die dit nummer biedt bij het onderling uitwisselen van

bedreiging voor de kwaliteit van de gemeentelijke basis

persoonsgegevens, bezorgen de burger veel ellende wanneer er

administratie en zodoende voor de persoonlijke levenssfeer van

fouten worden gemaakt in deze keteninformatisering. De gevol

burgers. Na de aankondiging van het CBP handhavend te zullen

gen hiervan zijn ingewikkeld en vergen veel tijd om ze adequaat

optreden bij het niet of niet tijdig laten uitvoeren van de audit, is

op te lossen.

vergeleken met voorgaande jaren verbetering opgetreden in de

Vanaf het begin van de discussie rond persoonsnummers (2002:

naleving door gemeenten van hun wettelijke verplichting. Aan

de Tafel-Van Thijn) is het CBP bij het onderwerp betrokken

vier nalatige gemeenten heeft het CBP in 2007 een last onder

geweest. Bij de voorbereiding van het wetsvoorstel in verschil

dwangsom opgelegd.

lende gremia en tijdens de parlementaire behandeling ervan

Over de handhaving van de auditverplichting zijn afspraken

heeft het CBP zich ingezet voor een wetsvoorstel dat voldoet aan

gemaakt

een zorgvuldige omgang met persoonsgegevens. Ondanks de

Persoonsgegevens en Reisdocumenten (BPR) van het ministerie

door het CBP ingebrachte wijzigingsvoorstellen en de kritiek van

van BZK en het CBP. De vorig jaar gestarte acties van BPR en CBP

de beide Kamers heeft het wetsvoorstel ongeschonden het

hebben er in eerste instantie toe geleid dat de resterende achter

Staatsblad bereikt. Wel hebben de verantwoordelijke bewindslie

standen van de eerste twee auditrondes zijn weggewerkt.

den toezeggingen gedaan bij de plenaire behandeling. Een van

De gemeenten die in de op 1 juli 2007 gestarte auditronde het

die toezeggingen luidt dat het CBP voldoende capaciteit krijgt om

eerst aan de beurt waren, zijn er half juli door BPR expliciet op

het gebruik van het BSN te volgen en klachten over dat gebruik te

gewezen dat het CBP als toezichthouder op de GBA handhavend

kunnen oplossen.

zou optreden als zij niet of niet tijdig aan hun auditverplichting

Hiermee treedt voor het CBP ten aanzien van het BSN een nieuwe

zouden voldoen. In dat geval worden de gemeenten door het CBP

fase in. Bij de beheervoorziening BSN wordt een burgerservice

gehoord en gemaand alsnog aan hun verplichting te voldoen.

punt ingericht waar de overheid en de burger met vragen over het

De betreffende drieëndertig gemeenten moesten de audit vóór

BSN terecht kunnen. Een wettelijke verankering van het burger

1 oktober 2007 laten uitvoeren. In het kader van transparant

servicepunt met bevoegdheden om bij ‘ongeregeldheden’ in te

optreden van de toezichthouder zijn de resultaten per gemeente

grijpen, is door de wetgever niet nodig geacht. De achterliggende

op de website van het CBP gepubliceerd.

een algemeen persoonsnummer, het burgerservicenummer (BSN),

>

tussen

het

Agentschap

Basisadministratie,

Zwarte lijst Postbank Rosie staat al acht jaar op de zwarte lijst van de Postbank. Als zij vraagt waarom krijgt zij elke keer een ander antwoord. Rosie vindt dat absoluut onterecht: alleen iemand die werkzaam is bij een bank zou zich schuldig kunnen maken aan wat haar wordt verweten, en voor haar gaat dat niet op. Nu wil ze graag een huis kopen en dat lukt niet als ze op een zwarte lijst staat. Wat kan zij daar aan doen?


25

> activiteiten Het CBP verwacht dat in de volgende tijdvakken meer gemeenten

werkelijkheid”, aldus het CBP. De gevolgen van de data-analyse

tijdig zullen voldoen aan hun verplichting om een audit uit te

voor de burger, maar ook voor de verantwoordelijken en de

laten uitvoeren. Op 2 januari 2008 is het CBP begonnen met de

diensten, zijn niet, althans onvoldoende, onderkend. Een aantal

controle van het tweede tijdvak van de derde cyclus.

belangrijke elementen van de wet zal bij algemene maatregel van bestuur worden ingevuld. Daarover bestaat nu nog onduidelijk

Gegevensvergaring door inlichtingen- en veiligheidsdiensten

heid.

Het kabinet wil de bevoegdheden voor de inlichtingen- en veilig

en lang bewaard. Het risico bestaat dat deze gegevensstromen

heidsdiensten om persoonsgegevens in te winnen uitbreiden en

leiden tot een veel te vergaand volgen en controleren van de

bedrijven en instellingen verplichten om die gegevens ook af te

burger. Juist omdat de risico’s en nadelen in de toelichting op het

geven. Het wetsvoorstel dat dit regelt, komt bovenop de vele

wetsvoorstel onvoldoende aan bod zijn gekomen, kan niet beoor

maatregelen die de afgelopen tijd in het kader van terrorisme

deeld worden of de waarborgen een adequaat tegenwicht

bestrijding al zijn genomen. Het CBP is van oordeel dat onvol

bieden. Het is evenwel zeker dat het ontbreken van een bevei

doende duidelijk is gemaakt dat de nieuwe uitbreiding van

ligingsbepaling en van een evaluatie- en/of horizonbepaling niet

bevoegdheden nodig is. Bovendien bevat het wetsvoorstel te

bijdraagt aan het benodigde evenwicht.

Steeds meer persoonsgegevens over burgers worden verzameld

weinig waarborgen voor de burger dat zijn persoonsgegevens veilig worden behandeld. Dat heeft het CBP op 20 december 2007

Risicojongeren

aan de Eerste Kamer geschreven in een op verzoek van de voor zitter van de Kamer gegeven advies.

VIR

Het CBP vindt het ontbreken van de proportionaliteit van de maat

Om problemen in de jeugdketen het hoofd te kunnen bieden,

regelen zorgelijk, zeker gezien de onduidelijkheid die bestaat over

ontwikkelt het ministerie van Volksgezondheid, Welzijn en Sport

de omvang van de reeds bestaande bevoegdheden. Dit terwijl de

een landelijke verwijsindex risicojongeren (VIR). De verwijsindex

wettelijke regels voor de bescherming van persoonsgegevens

moet een hulpmiddel worden voor een meer samenhangende

opzij gezet worden indien sprake is van een verwerking ten

aanpak van de hulpverlening aan probleemjongeren door de bij

behoeve van de inlichtingen- en veiligheidsdiensten.

de jeugdhulpverlening betrokken partijen. Het CBP heeft een lijst

Het wetsvoorstel verplicht telecombedrijven, vervoerbedrijven en

met aandachtspunten opgesteld waarmee bij het inrichten van

banken op grote schaal gegevens van groepen burgers af te staan

een dergelijke index rekening moet worden gehouden. Daaronder

aan de AIVD. Deze dienst wil gegevens over internetgebruik,

vallen onder meer de definiëring van risicojongere, het gewicht

reizen, betalingsverkeer en dergelijke analyseren. Iemand die bij

van de criteria die tot opname in de index leiden en de wijze

voorbeeld belt met of geld overmaakt aan personen die in een

waarop de gegevens worden gebruikt. Onder de samenwerking

gebied verblijven waar terroristen wonen, kan zo bij de AIVD in

tussen de verschillende instanties valt bijvoorbeeld het delen van

het vizier komen. “Het is niet gegarandeerd dat de kwaliteit van

ervaringen met een bepaalde werkwijze. Het kan zijn dat daarbij

gegevens die worden binnengehaald, van dien aard is dat daaruit

ook informatie over individuele personen wordt gedeeld. In dat

conclusies kunnen worden getrokken die overeenkomen met de

geval vindt het CBP het van belang dat niet alleen de noodzaak

>

Zwarte lijst hangjongeren Een moeder krijgt van de regiopolitie bericht dat de politie gegevens over haar minderjarige zoon heeft opgenomen op een ‘lijst’ met als doel inzicht te krijgen in groepen hangjongeren. De zoon was tijdens schooluren op straat aangetroffen met een paar klasgenoten. Van strafbare feiten was geen sprake: de jongens moesten buiten de school een opdracht uitvoeren! “Mag de politie dat doen?” vraagt de moeder. “En kun je iets doen tegen opname op zo’n lijst?”

26


handel openbaar en diensten bestuur van het uitwisselen van die gegevens wordt onderbouwd, maar

Selectief woningtoewijzingsbeleid

ook de noodzaak van de hoeveelheid en aard van de gegevens.

In 2006 is het CBP een onderzoek gestart naar het selectief

In december 2007 heeft het CBP gereageerd op de antwoorden

woningtoewijzingsbeleid in ’s-Hertogenbosch. Dit beleid hield in

die het ministerie in september 2007 heeft verstrekt op de belang

dat op basis van informatie afkomstig van de politie getoetst werd

rijkste privacyvragen. Het CBP stemt van harte in met het streven

of kandidaat-huurders voor de woningen van een tweetal woning

om te komen tot een betere en snellere hulpverlening aan kinde

corporaties in de Graafsewijk op grond van hun eerdere gedrag

ren/jongeren die dat nodig hebben. De door het ministerie ver

een risico zouden kunnen vormen voor de leefbaarheid in die wijk.

strekte informatie is voor het CBP echter onvoldoende om te

Het CBP-onderzoek wees uit dat het beleid op een aantal punten

kunnen beoordelen of de VIR in overeenstemming is met de Wbp.

in strijd was met de Wbp. Daarbij ging het onder meer om de aard

Het centrale punt van kritiek is het ontbreken van een concrete

van de gegevens over kandidaat-huurders en om de transparantie

doelstelling. Heeft de verwijsindex uitsluitend hulpverlening aan

van het proces. Gemeente, politie en woningbouwcorporaties

het kind of de jongere tot doel of daarnaast ook het handhaven

hebben naar aanleiding van deze bevindingen de praktijk in over

van de openbare orde? Gaat het met andere woorden om hulp

eenstemming gebracht met de wet.

verlening aan jongeren die zelf risico lopen of om repressie van jongeren die juist zelf een risico vormen? “Er moet voor worden

Aanpak ernstige ordeverstoorders

gewaakt dat onder het mom van hulpverlening strafrechtelijke

Om ernstige overlast te voorkomen of te beëindigen zouden vol

doelen worden nagestreefd” schrijft het CBP aan de minister voor

gens een wetsvoorstel van de minister van Justitie de burge

Jeugd en Gezin. Kernbegrippen moeten eenduidig worden

meester en de officier van justitie meer bevoegdheden moeten

gedefinieerd en voor opname in de verwijsindex dienen concrete

krijgen. Zij zouden ordeverstoorders bijvoorbeeld kunnen bevelen

criteria te worden vastgesteld.

om gedurende een bepaalde tijd uit een bepaald gebied weg te blijven. Het CBP wijst er in zijn advies over het wetsvoorstel op dat

VIA

een dergelijk bevel moet zijn gebaseerd op juiste persoons

Vooruitlopend op een algemene verwijsindex risicojongeren of

gegevens in dossiers. De gegevens moeten kloppen en de betrok

andere wetgeving is in 2006 een pilot gestart voor intergemeente

kene moet deze in kunnen zien, verbeteren en eventueel laten

lijke informatie-uitwisseling ten behoeve van een persoons

verwijderen. In de memorie van toelichting bij het wetsvoorstel

gerichte benadering van Antilliaanse en Arubaanse risicojongeren

zouden regels die de persoonsgegevens beschermen explicieter

(VIA). Het CBP heeft op 11 december 2006 de minister van

aandacht moeten krijgen. Een verwijzing naar ‘de privacyregels’ is

Vreemdelingenzaken en Integratie en de burgemeesters van de

te summier.

zogeheten ‘Antillianengemeenten’ voor de duur van twee jaar ontheffing verleend van het verbod om persoonsgegevens op

OV-chipkaartactie voor 65+ ers in Rotterdam

basis van etniciteit te verwerken. Tegen dit ontheffingsbesluit is

De gemeente Rotterdam bood 65+-ers gedurende een aantal

bezwaar aangetekend door onder meer de Stichting Overlegorgaan

maanden gratis openbaar vervoer aan door middel van de

Caribische Nederlanders en de stichting Movimientu Antiniano

OV-chipkaart. Bij het inschrijfformulier zat een enquête. Het CBP

i Arubano pa Promové Partisipashon. Na heroverweging heeft het

kreeg klachten over de verwerking van de op de enquête in te

CBP zijn ontheffingsbesluit gehandhaafd. De Stichtingen zijn ver

vullen gevoelige gegevens. In de aanbiedingsbrief was niet aan

volgens in beroep gegaan bij de rechtbank. De rechter heeft op

gegeven welk doel deze enquête diende, hoe de gegevens ver

26 juli 2007 dit beroep gegrond verklaard. De minister voor

werkt zouden worden en dat aanvragen voor het gratis OV ook

Wonen, Wijken en Integratie, de betrokken gemeenten en het CBP

zonder ingevulde enquête in behandeling zouden worden geno

zijn tegen de uitspraak van de rechtbank in beroep gegaan bij de

men. Zowel de gemeenteraad als de wethouder Verkeer, Vervoer

Raad van State. Hangende het hoger beroep wordt geen

en Organisatie hebben snel en adequaat gereageerd op de kritiek

Verwijsindex Antillianen opgestart. Eind 2007 was de stand van

en de mailing aangepast. Voor meer nieuws over de OV-chipkaart

zaken dat de Afdeling bestuursrechtspraak van de Raad van State

zie p.39.

nog geen zittingsdatum had vastgesteld.


27

> activiteiten

Politie en justitie Het stagnerend debat over het zoeken naar een goede balans tussen veiligheid en privacy is in 2007 losgetrokken. Als het om veiligheid gaat, is de marge voor aantasting van de privacy van burgers iets ruimer dan in andere gevallen. Maar ook dan blijft gelden: alleen die gegevens verzamelen die aantoonbaar nodig zijn voor een effectieve bestrijding van terrorismedreiging en georganiseerde criminaliteit.

28


handel politie enen diensten justitie Veiligheid en privacy: het zoeken naar een balans

6 november aan mr. Han Moraal van het College van procureurs-

Veiligheid en privacy: beide waarden zijn voor burgers onmisbaar in

generaal. In hun reacties op de bevindingen hebben het Parket-

een goed functionerende rechtsstaat. Maar te vaak worden deze

Generaal en het ministerie van Binnenlandse Zaken en

waarden als tegenpolen tegen elkaar opgezet. “De laatste jaren is er

Koninkrijksrelaties het belang van een juiste uitvoering van de ver

over de verhouding tussen privacy en veiligheid weliswaar veel

nietigingsplicht onderschreven. Zij hebben maatregelen aan

gezegd en geschreven, maar de nuances in dat debat zijn soms ver

gekondigd ter verbetering van de werkwijze en het inrichten van

te zoeken”, aldus Jacob Kohnstamm. Het huidige debat wordt door

controle op de uitvoering van de vernietigingsplicht.

Collegelid Jannette Beuving overhandigde het rapport op

mythes en pavlovreacties gekenmerkt en stagneert mede daardoor. Om het debat weer vlot te trekken heeft het CBP in samenwerking met de ministeries van Binnenlandse Zaken en Koninkrijksrelaties

Uit de Telegraaf van 6 november 2007:

en Justitie prof. mr. H.R.B.M. Kummeling van de Universiteit Utrecht en prof. mr. dr. E.R. Muller, Universiteit Leiden en het COT Instituut voor Veiligheids- en Crisismanagement, in 2005 gevraagd onder zoek te verrichten naar het vinden van een goede balans tussen veiligheid en privacy. In hun onderzoeksrapport stellen de onder zoekers dat de bindende factor tussen de twee waarden de wens is voor een effectieve democratische rechtsstaat. Zij bieden tien hand vatten om een doelmatiger en doeltreffender debat over veiligheid en privacy te waarborgen. Ter gelegenheid van het verschijnen van het onderzoeksrapport vond op 1 november 2007 een conferentie plaats te Den Haag. Een bundeling van de referaten zal in 2008 wor den gepubliceerd.

Afgeluisterde gesprekken met advocaten niet altijd gewist Het CBP heeft onderzoek gedaan naar de gang van zaken bij de vernietiging van geheimhoudersgesprekken door de landelijke tapkamers van de politie. Bij strafrechtelijk onderzoek worden regelmatig ook telefoongesprekken tussen advocaten of artsen en hun cliënten afgetapt en vastgelegd. De betrokken officier van jus titie dient opdracht te geven tot vernietiging van het digitale bestand en de eventuele uitwerking ervan op papier, zodra hij onderkent dat het om een zogenaamd geheimhoudersgesprek gaat. Dit is een gesprek gevoerd met een beroepsbeoefenaar die een wettelijk beroepsgeheim en verschoningsrecht heeft. Uit het onderzoek van het CBP blijkt onder meer dat niet alle getapte

“Ondanks deze geruststellende woorden van de heer Moraal, hebben

geheimhoudersgesprekken (tijdig) zijn gewist en dat in één van de

wij de politiekorpsen aangeschreven en hen gewezen op hun verant-

twee tapkamers schriftelijke uitwerkingen van de gesprekken

woordelijkheid inzake het tijdig vernietigen van (onder meer) schrifte-

bewaard waren gebleven.

lijke uitwerkingen van geheimhoudersgesprekken. In deze zelfde peri-

Naar het oordeel van het CBP is in deze gevallen gehandeld in strijd

ode bleek hoe reëel de zorg van het CBP op dit punt is: in de Hell’s Angels

met de plicht de geheimhoudersgesprekken zo spoedig mogelijk te

strafzaak (LJN BC0685) constateerde de rechtbank dat de regels ter

vernietigen. Deze vernietigingsplicht dient niet alleen individuele

bescherming van het ‘hooggewaardeerde beginsel’ van het verscho-

belangen maar tevens de bescherming van het voor de samenle

ningsrecht waren geschonden doordat op grote schaal gesprekken met

ving als geheel belangrijke beroepsgeheim van enkele beroeps

geheimhouders niet of niet tijdig waren gewist. Een en ander leidde er

groepen. In een democratische rechtsstaat moet elke burger ver

toe dat de rechtbank het Openbaar Ministerie niet-ontvankelijk heeft

trouwelijk een beroep kunnen doen op een advocaat, arts, notaris of

geacht in de strafvervolging van de verdachten”.

geestelijke.

Jannette Beuving


29

> activiteiten > activiteiten >

politie en justitie

Strafrechtelijk onderzoek op intranet Een werknemer wordt geconfronteerd met een strafrechtelijk/disciplinair onderzoek. De werkgever vindt het nodig om hier met naam en toenaam op het intranet aandacht aan te schenken, met als doel geruchten in de wandelgang de kop in te drukken en om aan te geven dat dergelijk gedrag niet wordt getolereerd. "Mag dit?", vraagt een collega zich af. “En moet dan ook niet de uitkomst van het onderzoek worden vermeld, zeker wanneer betrokkene vrijuit gaat?”

Kentekenvergelijking

ring van de uitvoeringspraktijk onder handen is genomen en dat

‘Tracking and tracing’ door middel van het gebruik van kenteken

tal van wetgevende initiatieven, zoals de invoering van biometrie

vergelijkende camera-apparatuur (‘ANPR’, ook wel ‘catchken’

op identiteitsdocumenten, in de nabije toekomst meer mogelijk

genaamd) raakt veel burgers en brengt de glazen samenleving

heden zullen bieden voor een betere identificatie, ook van ver

weer een stap dichterbij. En draagt het fotograferen van alle auto

dachten en veroordeelden. Verder is het CBP van oordeel dat

mobilisten die over de Utrechtse brug Amsterdam inrijden nu echt

onvoldoende duidelijk is gemaakt of de maatregelen voldoen aan

bij aan een veiliger hoofdstad? Het CBP heeft het afgelopen jaar

beveiligings- en controle-eisen.

met een aantal politieregio’s, het Openbaar Ministerie en de

Het wetsvoorstel is onlangs naar de Raad van State gezonden.

Koninklijke Marechaussee contact gehad over de plannen van deze organisaties met betrekking tot het gebruik van deze

Zwarte lijst drugskoeriers

apparatuur. Het is van belang de doeleinden van de kenteken

Ter bestrijding van aanhoudende drugssmokkel via Schiphol heeft

vergelijking, de verschillende bestanden waarmee vergeleken

de Nederlandse Staat in 2004 convenanten gesloten met een aan

wordt en de bewaartermijnen van de kentekens scherp voor ogen

tal luchtvaartmaatschappijen die rechtstreekse verbindingen

te houden. In 2008 zal het overleg hierover worden voortgezet.

onderhouden met de zogenaamde risicogebieden zoals de

Het CBP houdt de ontwikkelingen op dit gebied nauwlettend in

Nederlandse Antillen en Suriname. Daarin is afgesproken dat pas

de gaten.

sagiers bij wie cocaïne wordt aangetroffen een vliegverbod voor de duur van drie jaar krijgen op rechtstreekse vluchten op deze

Identiteitsvaststelling verdachten en veroordeelden

bestemmingen en daarmee op de zogenaamde zwarte lijst wor

Om identiteitsfraude in de strafrechtspleging tegen te gaan en de

de uit die gebieden afkomstige passagiers.

effectiviteit van de strafrechtsketen te vergroten, wil de minister

Het CBP heeft destijds geadviseerd over de juridische inbedding

van Justitie betere mogelijkheden tot zijn beschikking hebben om

van deze maatregel en de daarbij in een basisdocument op te

de identiteit van verdachten en veroordeelden vast te stellen.

nemen privacywaarborgen. In 2006 liep de looptijd af van de

Er zou voor hen een wettelijk identificatienummer, het zogeheten

ministeriële beschikking op basis van de Wet politieregisters

strafrechtsketennummer (SKN) worden ingevoerd. Ook wordt

(Wpolr) waarin de convenanten waren vervat en ging de minister

voorzien in een centrale databank waarin de identiteiten van alle

van Justitie over tot een verlenging van de beschikking met voor

verdachten en veroordeelden worden opgeslagen. Verder zouden

bijgaan aan de daarvoor geldende vereisten van de Wet bescher

de bewaartermijnen voor het SKN, vingerafdrukken, foto’s, DNA-

ming persoonsgegevens. Het CBP heeft de minister erop gewezen

profielen en justitiële en strafvorderlijke gegevens worden gehar

dat de Wbp in dit verband eist dat aangetoond is dat voortzetting

moniseerd. Het CBP heeft in mei 2007 geadviseerd het betreffende

van deze maatregel noodzakelijk is en bovendien voldoet aan de

wetsvoorstel niet in te dienen. Eerst zou afdoende moeten zijn

eisen van proportionaliteit en subsidiariteit. Daaropvolgend is

gemotiveerd waarom de bestaande en al eerder voorgestelde

alsnog aangetoond dat de maatregel inhoudende een vlieg

wettelijke mogelijkheden tekortschieten voor de strafrechtsketen.

verbod effectief is gebleken en het aantal aangehouden drugs

Uit de toelichting bij het wetsvoorstel blijkt immers dat verbete

koeriers aanzienlijk is afgenomen. Het achterwege laten van de

30


den geplaatst. Ook werd overgegaan tot een 100%-controle van

handel en diensten maatregel zou naar verwachting weer tot een stijging van de

autoriteiten blijkt dat de Nederlandse autoriteiten op tal van

drugssmokkel leiden. Daarnaast voorzien de nieuwe Wet en

onregelmatigheden in de verwerking van de zwarte lijstgegevens

Besluit politiegegevens met ingang van 1 januari 2008 in een

zijn gestuit. Zo bleek onder meer dat de VS geen maximale

aparte verstrekkingsgrond voor de zwarte lijst aan luchtvaart

bewaartermijn hanteert en in het geheel geen gegevens uit zijn

maatschappijen.

informatiesystemen heeft verwijderd, ook niet van personen die bijvoorbeeld in verband met vrijspraak van de zwarte lijst waren

Doorgifte zwarte lijst naar de Verenigde Staten en Australië

gehaald. Nederland is daarop overgegaan tot het voorlopig stop

Toepassing van de zwarte lijst met drugskoeriers zou naar werd

strekkingsbeschikking van de zwarte lijst aan Australië is na afloop

verwacht leiden tot andere routes voor drugstransporten. Om dit

van de looptijd daarvan niet verlengd, omdat in die periode geen

effect voor te zijn, vroegen de politiediensten in de Verenigde

sprake was geweest van ‘hits’.

Staten en Australië de minister van Justitie hen de lijst ter beschik

Het CBP heeft daarom in 2007 opnieuw de aandacht van de minis

king te stellen. Dit is gebeurd. Het CBP heeft in 2006 de minister

ter gevraagd voor de gebleken ernstige tekortkomingen in de

gewezen op het hierbij geldend juridisch kader en op de voor

verstrekking aan de Verenigde Staten.

zetten van de verstrekking van de zwarte lijst aan de VS. De ver

waarden die aan een dergelijke verstrekking moeten worden verbonden. Gelet op de mogelijk ingrijpende gevolgen voor pas

Interventieteams

sagiers als de gegevens onjuist zijn of te lang worden bewaard,

In interventieteams voor de fraudebestrijding werken organisaties

terwijl de VS de mogelijkheid tot oplegging van de doodstraf kent

zoals de belastingdienst, het Uitvoeringsinstituut werknemers

en in Australië het recht op gegevensbescherming alleen geldt

verzekeringen, de Sociale verzekeringsbank, de Arbeidsinspectie,

voor staatsburgers en ingezetenen, is de grootst mogelijke zorg

de Sociale Inlichtingen- en Opsporingsdienst, de politie, het

vuldigheid geboden en moet worden gewaarborgd dat de gege

Openbaar Ministerie en gemeenten samen bij de bestrijding van

vens juist zijn. Daarbij dienen voorwaarden te worden gesteld

zwart werk, illegale arbeid, fiscale fraude en premie- en uitkerings

voor het verder gebruik, de maximale bewaartermijn en de ver

fraude. In 2007 heeft het CBP twee interventieteamprojecten

wijdering van de gegevens. Met name in de VS, maar ook in

onderzocht. Daarbij is gekeken naar de rechtmatigheid van de

Australië, is het niveau van gegevensbescherming, vereist voor

gegevensuitwisselingen tussen de deelnemers aan het inter

het mogen verstrekken van politiegegevens, nog onvoldoende te

ventieteam, heimelijke waarneming van burgers en informatie

achten.

verstrekking aan de onderzochte personen. De onderzoeks

Ondanks de aangevoerde bezwaren tegen de wijze van verstrek

resultaten worden in het voorjaar van 2008 bekend gemaakt.

king aan deze politiediensten, gaf de minister van Justitie in december 2006 een inhoudelijk ongewijzigde beschikking af voor een nieuwe periode van twee jaar. Uit een kort daarna beschik baar gekomen verslag van een bezoek aan de Amerikaanse

>

Geen glaasje op Frits moet bij een nachtelijke alcoholcontrole blazen. Hij heeft niets gedronken. Hij moet wel zijn naam en andere gegevens opgeven. Als hij vraagt waarom, krijgt hij te horen dat dit nu eenmaal moet en dat zijn opmerking ook wordt genoteerd. “Mag dit wel?” vraagt Frits.


31

Arbeid en sociale zekerheid Burgers zijn niet al automatisch verdacht door het simpele feit dat zij een uitkering of huurtoeslag krijgen. Het bestrijden van uitkeringsfraude is nodig, maar controle met behulp van bestandskoppelingen is alleen toegestaan op grond van deug delijke risicoanalyse. De ‘Waterproof’- uitspraak van het CBP heeft ertoe geleid dat thans instrumenten worden ontwikkeld aan de hand waarvan fraude in de sociale zekerheid effectief kan worden bestreden op een manier die in overeenstemming is met de Wbp.

32


arbeid en sociale zekerheid Waterproof: Onderzoek fraudebestrijding door bestandskoppeling

Overdracht arbodossiers

Aan de hand van gegevens over hun waterverbruik en de water

nieuwe arbodienstverlener het overdragen van de arbodossiers

vervuilingsheffing zijn alle AOW’ers en ontvangers van een bij

van de werknemers zonder een eraan ten grondslagliggende wet

standsuitkering in 65 gemeenten in Friesland, Groningen en

telijke regeling onrechtmatig is. In 2007 heeft het CBP, mede naar

Drenthe gecontroleerd op fraude. Daarnaast zijn de gegevens

aanleiding van vele signalen uit de praktijk dat dit problemen

gebruikt voor controle op fraude met huurtoeslag. Het CBP heeft

opleverde, onderzocht of er binnen de bestaande wettelijke

de bij het project ‘Waterproof’ gebruikte bestandskoppelingen

kaders een andere benadering mogelijk is.

onderzocht en geoordeeld dat deze onrechtmatig zijn. Burgers

De uitkomst van dit onderzoek is dat de oude arbodienstverlener,

zijn namelijk niet al verdacht door het simpele feit dat zij een uit

op verzoek van de werkgever, die informatie waarop het medisch

kering of huurtoeslag ontvangen.

beroepsgeheim van de bedrijfsarts níet rust, kan overdragen aan

Het belang van een goede fraudebestrijding neemt niet weg dat

de opvolgende arbodienstverlener zonder dat toestemming van

controle met behulp van bestandskoppelingen alleen toegestaan

de individuele werknemers noodzakelijk is. Het gaat hierbij om

is op grond van een deugdelijke risicoanalyse. Daarmee kan aan

administratieve gegevens en om gegevens die al eerder tijdens

nemelijk worden gemaakt dat nadere controle van een groep

het verzuimbegeleidingsproces rechtmatig aan de werkgever zijn

burgers die een grote kans op fraude loopt noodzakelijk is.

verstrekt. Zowel de gegevens van hen die op het moment van

Burgers die extra zijn gecontroleerd moeten hierover worden

overgang arbeidsongeschikt zijn als de gegevens van de op dat

geïnformeerd. Dit is de essentie van de notitie Fraudebestrijding

moment arbeidsgeschikte werknemers kunnen worden over

door bestandskoppeling die het CBP in 2006 uitbracht. De gege

gedragen aan de nieuwe arbodienstverlener, zolang de gegevens

vensverwerking van Waterproof is aan de hand het in deze notitie

niet vallen onder het medisch beroepsgeheim van de bedrijfsarts.

opgenomen toetsingskader beoordeeld.

Wel dient de ondernemingsraad te hebben ingestemd met de

De uitspraak van het CBP heeft ertoe geleid dat de opdrachtgever

overgang naar de nieuwe arbodienstverlener en dient de over

van Waterproof, de Landelijke Stuurgroep Interventieteams (LSI),

dracht (verwerking) vanzelfsprekend verder te voldoen aan de

met het CBP contact heeft opgenomen om te bezien op welke

overige eisen van de Wbp.

wijze de bestrijding van fraude in de sociale zekerheid effectief

Met betrekking tot die gegevens waarover het medisch beroeps

kan gebeuren op een manier die in overeenstemming is met de

geheim van de bedrijfsarts zich wél uitstrekt, geldt dat deze alleen

Wbp. In opdracht van de LSI werkt de Sociale Inlichtingen- en

onder bepaalde voorwaarden kunnen worden overgedragen door

Opsporingsdienst (SIOD) thans aan de ontwikkeling van risico

een bedrijfsarts aan de hem opvolgende bedrijfsarts. Eén van de

analyses. Daarbij wordt gebruik gemaakt van Privacy Enhancing

voorwaarden is dat er sprake moet zijn van een noodzaak tot ver

Technology (PET). Dit houdt in dat in een beveiligde omgeving, de

strekken in het kader van de verzuimbegeleiding.

zogenoemde black box, met behulp van speciale software geano

Van zo'n noodzaak is sprake als er ten tijde van de wisseling van

nimiseerde gegevens kunnen worden gekoppeld en vergeleken.

bedrijfsarts sprake is van een 'lopend ziektegeval'. Aansluiting

Op basis van deze gegevens komt de risicoanalyse tot stand.

zoekend bij de sociale verzekeringswetgeving met betrekking tot

Alleen de gegevens van de risicopopulatie zullen tot persoons

zogenaamde 'doorlopers' acht het CBP overdracht van het

gegevens worden herleid. Deze risicopopulatie wordt vervolgens

medische deel van het arbodossier eveneens gerechtvaardigd

op persoonsniveau gecontroleerd en daarover geïnformeerd. Op

indien de werknemer vier weken na een hersteldmelding weder

deze wijze zal tot tevredenheid van het CBP bij nieuwe projecten

om uitvalt. Tevens dient de betrokken werknemer tevoren op de

gerichte fraudebestrijding met respect voor de persoonlijke

hoogte te worden gebracht van de aanstaande gegevens

levenssfeer plaatsvinden.

overdracht en in staat te worden gesteld hier eventueel bewaar

De staatssecretaris van Sociale Zaken en Werkgelegenheid heeft

tegen te maken. De overdragende bedrijfsarts moet zich ervan

in een brief van 19 december 2007 de Tweede Kamer geïnfor

vergewissen dat aan deze informatieplicht is voldaan voordat hij

meerd over de afspraken die tussen de LSI en het CBP zijn

de gegevens daadwerkelijk overdraagt aan zijn opvolger. Ook

gemaakt. De staatssecretaris concludeert dat het door deze

voor deze gegevensverwerking geldt verder dat er instemming

afspraken mogelijk wordt om het koppelen van bestanden in te

van de ondernemingsraad (met de overgang naar de nieuwe

zetten bij het bestrijden van fraude terwijl door gebruikmaking

arbodienstverlener) vereist is en dat de overdracht verder vanzelf

van PET-methoden de werkwijze van de interventieteams binnen

sprekend dient te voldoen aan de overige eisen van de Wbp.

In 2006 heeft het CBP geoordeeld dat bij een overgang naar een

de kaders van de Wbp zal plaatsvinden. Over twee jaar zal een evaluatie plaatsvinden waarin onder meer de stand van zaken bij

Arbeidsongeschiktheidsverleden

de ontwikkeling van voorspellende risico-indicatoren zal worden

Een werkgever die een werknemer in dienst neemt met een

beoordeeld, schrijft de bewindsman.

arbeidsongeschiktheidsverleden loopt geen financieel risico


33

> activiteiten mocht

Het

gever bij wie de werknemer uitviel, of eigenrisicodragers, zullen

Uitvoeringsinstituut werknemersverzekeringen (UWV) neemt

deze

werknemer

uitvallen

wegens

ziekte.

alleen spontaan een kopie van een beschikking ontvangen als de

namelijk in zo’n geval onder bepaalde voorwaarden de loon

betreffende werkgever daarbij een eigen concreet rechtstreeks

doorbetalingsverplichting van de werkgever over. Dit wordt ook

geraakt belang heeft. Dus niet langer in situaties waarin de werk

wel de ‘no-riskpolis’ genoemd. Deze no-riskpolis kan door een sol

gever ‘slechts’ een (conform de rechtspraak van de CRvB) ver

licitant als troef worden ingezet om de werkgever ertoe te bewe

ondersteld eigen belang heeft, namelijk als dat belang alleen

gen hem aan te nemen.

ontleend wordt aan het zijn van actueel werkgever.

Aan de andere kant staat het de werknemer ook vrij om over zijn arbeidsongeschiktheidsverleden juist te zwijgen tijdens de solli

Suwinet

citatieprocedure. Een werkgever mag pas na twee maanden (het

Sociale Diensten van de gemeenten maken gebruik van Suwinet

einde van de proeftijd) in algemene termen vragen of de nieuwe

bij het toekennen van uitkeringen en bij de re-integratie van uit

werknemer bij eventuele uitval wegens ziekte in de toekomst

keringsgerechtigden. Suwinet is een systeem voor gegevensuit

aanspraak kan maken op een ziekengelduitkering in verband met

wisseling tussen de gemeentelijke sociale diensten, het UWV en

deze no-riskpolis.

het CWI. In dit systeem zijn voor gemeenten gegevens over de

De Centrale Raad van Beroep heeft echter een aantal uitspraken

gemeentelijke bijstandsgerechtigden zichtbaar. Het gaat hierbij

gedaan waarin ‘mede gelet op het belang van een heldere, een

om persoonsgegevens, zoals opleiding, arbeidsverleden, inko

voudig toe te passen invulling van het begrip belanghebbende’

men, naw-gegevens, overige uitkeringen en het arbeids

wordt geoordeeld dat álle actuele werkgevers categoraal als

ongeschiktheidspercentage. Deze privacygevoelige gegevens

belanghebbende dienen te worden beschouwd. Dit dus ongeacht

dienen uiteraard alleen gebruikt te worden door de hiertoe

de vraag of de betreffende werkgever daadwerkelijk in een con

bevoegde instanties én alleen voor het doel waarvoor ze

creet geval tegen een bepaalde beschikking zou kunnen en willen

verzameld zijn, namelijk het toekennen van uitkeringen en de

opkomen.

re-integratie van uitkeringsgerechtigden.

Aangezien het UWV ervan uit ging dat er een wettelijke plicht tot

In 2007 heeft het CBP, met het oog op het starten van een onder

bekendmaking gold ten aanzien van alle belanghebbenden bij

zoek bij gemeenten naar mogelijke onrechtmatige verstrekking

een beschikking, is het UWV naar aanleiding van deze uitspraak er

van gegevens uit Suwinet aan andere instanties of aan andere

vervolgens toe overgegaan om standaard alle beschikkingen

afdelingen binnen de gemeenten, bij diverse belangenorganisa

betreffende het recht op, de hoogte en de duur van een WAO-/

ties voor bijstandsgerechtigden geïnformeerd naar signalen van

WIA-uitkering aan alle huidige werkgevers te sturen.

onrechtmatige verstrekking van gegevens uit Suwinet.

Gevolg was dat, ook als een werknemer er juist voor had gekozen

Naast een groot aantal cliëntenraden zijn enkele andere belan

om tijdens zijn sollicitatie te zwijgen over zijn arbeidsongeschikt

genverenigingen zoals de Bijstandsbond en het Samen

heidsverleden, de werkgever (vaak zelfs voor het einde van de

werkingsverband mensen zonder betaald werk (SMZBW) geraad

proeftijd!) toch over dit verleden werd geïnformeerd door het

pleegd. Dit heeft echter geen signalen opgeleverd die duiden op

UWV. Het accepteren van een nieuwe baan leidt namelijk in veel

situaties waarin gegevens uit Suwinet onrechtmatig door gemeen

gevallen tot een besluit tot intrekking of wijziging van de uit

ten aan derden zijn verstrekt.

kering. Naar aanleiding van deze inbreuk op de privacy van de

34

werknemer met een arbeidsongeschiktheidsverleden zijn tot twee

Heimelijke waarneming door sociale diensten

maal toe vragen gesteld in de Tweede Kamer en kwam er tevens

Om mogelijke uitkeringsfraude aan het licht te brengen, voeren

een klacht binnen bij het CBP.

sociaal rechercheurs soms heimelijke waarnemingen uit. Sociale

Het CBP is vervolgens een ambtshalve onderzoek gestart naar

diensten moeten de verwerking van persoonsgegevens die met

deze standaardverstrekking met als verheugende uitkomst dat er

deze activiteiten samenhangt, vooraf laten onderzoeken door het

geen plicht tot verstrekking aan derde belanghebbenden bestaat.

CBP. Er is een procedure die waarborgen voor de burger over de

Er is sprake van een bevoegdheid tot verstrekken maar van deze

omgang met zijn gegevens bevat en ook regelt dat hij achteraf

bevoegdheid kan alleen gebruik worden gemaakt als aan alle

van de waarnemingen op de hoogte wordt gebracht. Als de

eisen van de Wbp is voldaan; alleen in die gevallen waarin er

sociale dienst werkt volgens de door het CBP vastgestelde proces

sprake is van een noodzaak tot verstrekken in het kader van de

beschrijving, kan het verplichte voorafgaand onderzoek direct

goede vervulling van de op het UWV rustende publiekrechtelijke

worden afgerond. Onderzoek in 2006 wees uit dat de naleving van

taak, kan het UWV overgaan tot het toezenden van de betreffende

de informatieplicht na heimelijke waarneming door de sociale

beschikkingen.

recherche voor verbetering vatbaar was. Dit leidde tot een twee

Het UWV heeft in de tweede week van januari 2008 toegezegd zijn

de, aangepaste versie van de procesbeschrijving die in 2007 door

staande beleid te zullen aanpassen. Huidige werkgevers die niet

het CBP is goedgekeurd. In 2008 zal het CBP de naleving ervan

tevens de voormalige werkgevers zijn, dat wil zeggen de werk

controleren.


Gezondheidszorg Gegevens over iemands gezondheid zijn uiterst gevoelig en moeten extra zorgvuldig worden behandeld. Het CBP heeft stevige kritiek geuit op de voorgestelde ruime toegang tot elektronische patiëntendossiers. Naar aanleiding daarvan zoekt de minister thans naar adequate autorisatiemogelijkheden. Voor alle soorten opslag van medische gegevens geldt dat voor de privacy van de patiënt de toegang tot de gegevens, de beveiliging van het systeem en correcte informatie essentiële voorwaarden zijn.


35

> activiteiten >

Invoering EPD Binnen de geestelijke gezondheidszorg wil men in 2008 gaan werken met het elektronisch patiëntendossier. Een werkneemster moet met het oefenprogramma met een fictieve patiënt vertrouwd raken met deze materie. Bij het oefenen blijkt zij toegang te hebben tot alle tot dan toe ingevoerde patiënten, ook die met wie zij op haar afdeling niets te maken heeft. Ook blijkt dat de gegevens van haar zoon, die met de organisatie in contact was geweest voor een diagnose, zichtbaar zijn, en dat haar man en zijzelf een cliëntnummer hebben gekregen, terwijl zij nooit voor een behandeling of diagnose bij deze instelling zijn geweest. “Wat kan ik hiertegen doen?” vraagt de vrouw.

Elektronisch patiëntendossier

De officiële voorlopers van het landelijk EPD zijn het Elektronisch

“Stel dat je buurman, die toevallig arts is, uitgebreid in jouw

Medicatie Dossier (EMD), met behulp waarvan de medicatie

medisch dossier gaat neuzen en daar leest dat je een zelfmoord

gegevens zijn in te zien, en het Waarneemdossier Huisartsen

poging hebt gedaan of dat je een geslachtsziekte hebt. Dat is toch

(WDH) dat huisartsenposten in staat stelt de gegevens in te

ondenkbaar?” Collegelid Jannette Beuving wijst in een interview

zien die bij de eigen huisarts van een patiënt zijn opgeslagen.

in De Volkskrant in juni haarfijn de zwakke stee aan in het concept-

Momenteel vinden in enkele regio’s officiële proeven met het

wetsvoorstel dat het Elektronisch patiëntendossier (EPD) regelt.

EMD en WDH plaats. Daarnaast is er een groot aantal regio’s dat

Het wetsvoorstel voert het EPD in en regelt de daarvoor beno

op eigen initiatief verschillende niet-officiële vormen van een EPD

digde infrastructuur en de daarbij geldende randvoorwaarden.

heeft opgezet. Voor de privacy van de patiënt zijn onder meer de

Het CBP is niet tegen de invoering van het elektronisch dossier.

toegang tot de gegevens, de beveiliging van het systeem en het

Integendeel. Maar het wijst het openstellen van de kasten met

correct informeren van de patiënt belangrijke aspecten. Omdat

patiëntendossiers voor alle zorgverleners ondubbelzinnig van de

uit ingewonnen informatie is gebleken dat de officiële pilots nog

hand.

maar heel beperkt van omvang zijn en dat de implementatie nog

In het wetsvoorstel maakt de behandelrelatie geen onderdeel uit

niet zo ver is als aanvankelijk werd aangenomen, heeft het CBP

van de autorisatieprocedure. Hierdoor zouden ook zorgverleners

het in 2007 nog niet aangewezen geacht om over te gaan tot

zonder behandelrelatie met de patiënt toegang hebben tot het

controlerend onderzoek.

dossier. Daardoor is er een risico dat personen met een onrecht die bij de behandeling betrokken zijn, moeten volgens het CBP tot

Elektronisch kinddossier in wetsvoorstel Wet publieke gezondheid

het EPD toegang krijgen. Voor noodgevallen kan een regeling met

Het CBP heeft in 2007 negatief geadviseerd over het wettelijk

toezicht achteraf worden opgezet.

verplicht stellen van het Elektronisch kinddossier jeugdgezond

Naar aanleiding van het advies onderzoekt het ministerie van VWS

heidszorg (EKD JGZ) in het wetsvoorstel Publieke gezondheid,

de mogelijkheden van adequate autorisatie.

dat ziet op jeugdgezondheidszorg en infectieziektenwetgeving.

Verder regelt het wetsvoorstel niet helder op welke wijze een

Reden hiervoor was onder meer dat de noodzaak van het centraal

patiënt verwerking van zijn gegevens in het elektronisch dos

opslaan van de gegevens van het EKD JGZ niet afdoende was

matig doel medische gegevens inzien. Alleen die zorgverleners

sier kan voorkomen of stopzetten. De mogelijkheden voor 'opt-

onderbouwd. In november 2007 heeft het kabinet aangegeven

out'zijn in het wetsvoorstel versnipperd over vier bepalingen, het

niet langer een centraal EKD in te willen voeren. Thans onderzoekt

geen leidt tot verwarring. Het CBP adviseert de 'opt-out' regeling

het kabinet de mogelijkheden voor het landelijk uitwisselen van

op te nemen in één wettelijke bepaling, die zo weinig mogelijk

berichten binnen de jeugdgezondheidszorg in een zogeheten

ruimte laat voor misverstanden.

‘landelijke kop’ op het EKD.

36


gezondheidszorg DIS/ Risicoverevening

dachtspunten uit deze gesprekken zijn door het CBP aangekaart

Het CBP heeft met de minister van Volksgezondheid, Welzijn en

bij de opstellers van de gedragscode: Zorgverzekeraars Nederland,

Sport afspraken gemaakt over de inzet van Privacy Enhancing

het Verbond van Verzekeraars en de Nederlandse Vereniging van

Technology bij het gebruik van gegevens in het DBC-informa

Banken. Het CBP heeft aangegeven dat aan deze punten aan

tiesysteem (DIS) en ten behoeve van de risicoverevening in het

dacht zal moeten worden besteed bij de totstandkoming van

kader van de nieuwe Zorgverzekeringswet. Door het gebruik

een nieuwe versie van de gedragscode, die wederom ter goed

van pseudo-identiteiten (een unieke, anonieme codering van

keuring aan het CBP zal moeten worden voorgelegd. De huidige

een bepaald persoonsgegeven) kan het gebruik van persoons

goedkeuringsverklaring met betrekking tot de Gedragscode en

gegevens worden vermeden.

bijbehorend Addendum is begin 2008 verlopen.

Het CBP constateert in dit verband met genoegen dat de privacyaudit van het risicovereveningssysteem in 2007 met goed gevolg is doorlopen. Het DIS dient nog te worden onderworpen aan een privacy-audit. Tot die tijd worden de gegevens anoniem aan DIS aangeleverd.

Addendum Zorgverzekeraars In 2006 is het Addendum Zorgverzekeraars goedgekeurd. Dit maakt als bijlage deel uit van de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen en bevat gedragsregels voor zorgverzekeraars met betrekking tot de verwerking van persoonsgegevens. De door het CBP goedgekeurde gedragscode maakt deel uit van de Zorgverzekeringswet- en regelgeving. In 2007 heeft de rechter uitspraak gedaan in vier bezwaar procedures tegen het goedkeuringsbesluit van het CBP, waarbij de bezwaren op formele gronden ongegrond zijn verklaard. Mede naar aanleiding van deze bezwaarprocedures heeft het CBP gesproken met (brancheverenigingen van) zorgverzekeraars en zorgverleners over de vragen die het Addendum en het bijbeho rend Protocol materiële controle in de praktijk oproepen. De aan

>

Giroafschriften “Ik ben alleenstaand, 74 jaar, woon in een groot huis in X waarvan ik een kamer verhuur en ontvang AOW voor een alleenstaande. Nu krijg ik het verzoek van de Sociale Verzekeringsbank om verschillende kopieën op te sturen. Het gaat om de huurovereenkomst en het bedrag van de huur en giroafschriften van de laatste drie maanden. Dat de SVB wil vaststellen of er sprake is van een gezamenlijke huishouding kan ik me wel voorstellen, maar het opvragen van al deze informatie vind ik een aanslag op mijn privacy. Ze hebben toch niets te maken met aan wie ik giften doe, aan welke partij ik lidmaatschapsgeld betaal, waarheen ik reis en of ik voor niets een kamer aan een asielzoeker ter beschikking stel? Wat denkt u, kan ik dit weigeren en riskeer ik dan korting op mijn AOW?”


37

Handel en diensten Vervoerbedrijven, zwembaden, hotels: heel veel bedrijven en dienstverleners willen om beveiligings- of commerciële redenen de handel en wandel van hun afnemers graag volgen en controleren. Onderzoek van het CBP in 2007 heeft bijgedragen aan grotere helderheid over wat hierbij wel en niet is geoorloofd. Meer duidelijkheid is er ook over het gebruik van zwarte lijsten door bedrijven.

38


handel en diensten OV chipkaart

ceerbare reisbewegingen waren opgenomen, is een afzonderlijk

De werking van de OV-chipkaart van het Amsterdams Gemeentelijk

vermeldenswaard concreet resultaat van de bemoeienis van het

Vervoerbedrijf (GVB) in het metronet is in strijd met de Wet

CBP dat er twee gescheiden databases komen: een met de naw-

bescherming persoonsgegevens. Het CBP is op basis van een in

gegevens van de reizigers en één met de reisbewegingen. Een

2007 uitgevoerd onderzoek tot de conclusie gekomen dat veel

punt van discussie is nog in hoeverre een koppeling van deze

moet veranderen, wil het OV-chipkaartsysteem rechtmatig wor

twee typen gegevens mag plaatsvinden en zo ja, onder welke

den toegepast. In het onderzoeksrapport wordt vastgesteld dat er

voorwaarden.

te veel persoonsgegevens worden vastgelegd en gebruikt, dat de gegevens te lang bewaard en onvoldoende beveiligd worden

Waarschuwingsregister detailhandel

en dat de reiziger geen helder inzicht heeft in wat er met zijn

De Stichting Fraude Aanpak Detailhandel (FAD) heeft in 2004 een

gegevens gebeurt. “Dat kan ertoe leiden dat Amsterdammers

waarschuwingssysteem in het leven geroepen met als doel fraude

onverhoeds geconfronteerd worden met hun reisgedrag van

door personeel tegen te gaan. Het waarschuwingssysteem is

jaren” zei Jacob Kohnstamm bij de presentatie van het rapport in

bedoeld om medewerkers die ernstige vergrijpen hebben

januari 2008. Het CBP eist naleving van de wettelijke normen.

gepleegd het werken in de hele detailhandel onmogelijk te

Anders ziet het zich genoodzaakt in 2008 handhavend op te

maken. Aan deze doelstelling heeft het CBP in 2004 zijn goedkeu

treden.

ring verleend. In 2007 heeft het CBP een onderzoek afgerond naar

Een treinreis van A naar B, een rit met bus of metro of een tochtje

de werking van het systeem. Het onderzoeksrapport Zwarte lijsten

per taxi: allerlei soorten reisbewegingen kunnen in de toekomst

detailhandel. De werking van de drie incidentenregisters van de

met behulp van de OV-chipkaart worden vastgelegd en eventueel

Stichting Fraudeaanpak Detailhandel, is in september 2007

getraceerd naar de individuele reiziger. Nu kunnen reizigers nog

gepubliceerd. De belangrijkste uitkomsten van het onderzoek zijn

van het openbaar vervoer gebruik maken zonder dat per reis hun

het ontbreken van een expliciete afweging inzake de proportiona

persoonsgegevens worden geregistreerd. Dat moet naar het oor

liteit van de registratie van betrokkene in het waarschuwingsregis

deel van het CBP ook het uitgangspunt zijn. Het GVB Amsterdam

ter en het in ruim een vijfde van de gevallen niet goed informeren

draait als een van de eerste openbaarvervoerbedrijven in de

van de betrokkenen dat zij in het systeem zijn geregistreerd. Door

metro proef met de OV-chipkaart. Het onderzoek had tot doel de

de stichting FAD was in 2004, bij de beoordeling van de recht

omgang met persoonsgegevens in de praktijk te toetsen aan de

matigheid van het systeem door het CBP, zelf uitdrukkelijk aan

wettelijke normen, waarover het CBP al in november 2005 in een

gevoerd dat moest worden voorkomen dat personen voor relatief

publicatie heeft geadviseerd.

kleine delicten zouden worden geregistreerd. Uit het onderzoek

De CBP-rapportage is voor GVB aanleiding geweest contact op te

blijkt evenwel dat veel – vaak jonge – werknemers op de zwarte

nemen met de directies van de collega-vervoerbedrijven, waar

lijst belanden vanwege een vergrijp dat gering van omvang is. Als

onder NS, en met de leverancier van de chipkaart, Trans Link

het stelen van een blikje frisdrank leidt tot het voor vier jaar uit

Systems BV. De OV-bedrijven berichten de bescherming van per

gesloten worden van het verkrijgen van een baan in de branche,

soonsgegevens van groot belang te achten en reageren positief

is dat een disproportioneel zware maatregel. “Het voeren van een

op de helderheid die het rapport verschaft. In een brief van 14

zero tolerancebeleid tegen fraude mag niet betekenen dat winkel

januari 2008 geven zij in lijn met het CBP-rapport een overzicht

bedrijven een afweging tussen het sectorbelang en het belang

van de maatregelen die zij zullen treffen om aan de Wbp te vol

van de betrokkene achterwege kunnen laten”, aldus Collegelid

doen. Tijdens een door de Tweede Kamer op 16 januari 2008

Madeleine McLaggan bij de presentatie van het rapport. Het CBP

belegde

hoorzitting over de OV-chipkaartproblemen hebben

beraadt zich op vervolgstappen indien de in de praktijk ontstane

zowel GVB als NS daarnaast nogmaals uitdrukkelijk gemeld zich

gegevensverwerking niet in lijn wordt gebracht met het in 2004

aan de wet te zullen gaan houden. In een door GVB toegezegde

goedgekeurde protocol.

privacy-audit door een extern bureau zal onder meer worden bezien op welke wijze mogelijke koppeling in technische en orga

Publicatie protocollen van zwarte lijsten

nisatorische zin is geborgd. Het CBP heeft het GVB laten weten

In 2007 is begonnen met het publiceren van de protocollen die

dat de privacy-audit uiterlijk op 1 juni 2008 moet zijn afgerond,

een verklaring omtrent rechtmatigheid hebben ontvangen.

het CBP kennis moet kunnen nemen van de uitkomst ervan en dat

Publicatie heeft tot doel bekendheid te geven aan protocollen die

GVB een termijn aangeeft waarbinnen de eventueel te nemen

een verklaring omtrent rechtmatigheid hebben ontvangen en

maatregelen worden geïmplementeerd.

daardoor als voorbeeld kunnen dienen voor bedrijven die een

Waar in de oorspronkelijke plannen sprake was van één database

zwarte lijst willen starten.

waarin zowel de kaarthoudergegevens als de op de persoon tra

Zie voor het publiceren van zwarte lijsten op het internet p.44.


39

> activiteiten >

Camera’s in de sauna Een hotel met zwembad en sauna voor gasten en voor mensen van buiten vraagt of het in het saunagedeelte cameratoezicht mag houden. Zo ja, hoe moeten ze dat aan de gasten duidelijk maken? Hoeveel bordjes moeten er hangen en hoe groot moeten die zijn? En, vraagt het hotel, hoe lang mag het de beelden houden?

40

Cameratoezicht in kleedruimtes

Registratie hotelgasten

Het CBP heeft een klacht onderzocht over camera’s in de gemeen

Hotels moeten hun gasten op een duidelijke manier informeren

schappelijke kleedlokalen van een zwembad. De klager stelde dat

over de gegevens die zij van hen registreren. Daarbij is er verschil

het niet duidelijk was wat de camera’s in beeld brengen en dat

tussen de persoonsgegevens die de hotels verplicht zijn te note

evenmin goed was aangegeven dat en waarom ze er hangen. Het

ren en gegevens die zij willen gebruiken voor direct marketing.

CBP is nagegaan waarom de camera’s er hangen, wat zij in beeld

Om Koninklijk Horeca Nederland (KHN) behulpzaam te zijn bij het

brengen, of de opnames goed beveiligd zijn en of de zwemmers

informeren van de daarbij aangesloten hotels heeft het CBP in

weten dat er camera’s zijn aangebracht en waarom. Het zwembad

december 2007 een brief gestuurd over de juiste invulling van de

heeft naar aanleiding van de interventie van het CBP de situatie

wettelijke registratieverplichtingen. Daarin spreekt het CBP de

aangepast, zodat het cameratoezicht nu in overeenstemming is

hoop uit dat KHN als belangenbehartiger van de branche op korte

met de wet.

termijn een modelkennisgeving zal ontwikkelen waarin de ver

De camera’s dienen als aanvullend instrument om overlast en

schillende verwerkingsdoeleinden van persoonsgegevens duide

diefstal te voorkomen. Andere maatregelen, zoals het aanbieden

lijk worden toegelicht. KHN heeft met instemming op de brief

van kluisjes, bleken daarvoor niet voldoende. Dit is een gerecht

gereageerd en beloofd de brief zo spoedig mogelijk door te geven

vaardigd belang van het zwembad. Bovendien dienen de camera’s

aan alle aangesloten hotels.

ook het belang van de bezoekers: hun eigendommen worden ook

Hotels moeten volgens het Wetboek van Strafrecht hun gasten bij

beveiligd.

aankomst om een geldig reisdocument of identiteitsbewijs vragen

De camera’s zijn niet op de kleedlokalen zelf gericht, maar slechts

en hun naam, beroep, woonplaats en dag van aankomst noteren.

op de kluisjes, zodat geen ontklede mensen in beeld kunnen

De dag van vertrek wordt eveneens genoteerd. Het register moet

komen. Dat is van essentieel belang, want het is uitdrukkelijk ver

op aanvraag worden getoond aan de burgemeester of een door

boden om mensen te filmen als die zich aan- of uitkleden. Ook van

deze aangewezen ambtenaar. Het CBP wijst erop dat het Wetboek

groot belang acht het CBP dat de bezoekers van het zwembad

van Strafrecht het hotel niet verplicht een kopie of scan te maken

weten dat er camera’s hangen, wat het doel is en wat ze in beeld

van het paspoort of id-bewijs en ook niet om andere persoonsge

brengen. Dat is nu beter geregeld dan eerst. Er hangen bij de

gevens daaruit over te schrijven, zoals het burgerservicenummer.

ingang, de toegangscontrole en de ingang van de kleedruimtes

Beide handelingen zijn namelijk in strijd met de Wet bescherming

borden die wijzen op de aanwezigheid van camera’s . De camera’s

persoonsgegevens, omdat zij niet nodig zijn voor het kunnen

zelf zijn verder duidelijk zichtbaar en ook duidelijk gericht op de

identificeren van een hotelgast.

kluisjes. Tot slot zijn er afdoende regels opgesteld voor de bevei

In een gemeentelijke Algemene Plaatselijke Verordening (APV)

liging van de beelden die met de camera’s worden opgenomen.

kunnen extra verplichtingen zijn vastgelegd om gegevens over

De beeldinformatie wordt voorts maximaal 24 uur bewaard. Een

gasten te registreren. Maar een APV kan het hotel ook niet ver

uitzondering geldt voor beelden waarop incidenten zijn vast

plichten een kopie of scan te maken van paspoort of identiteits

gelegd of die worden gevorderd door politie of justitie.

bewijs. De APV is een vorm van lagere regelgeving en kan het

Het CBP is tevreden met de aanpassingen die het zwembad heeft

verbod van de Wbp op het verwerken van bijzondere persoons

aangebracht in de feitelijke situatie en in het protocol dat het

gegevens en identificatienummers niet opheffen.

cameratoezicht regelt. Het zal steekproefsgewijs controleren of

Als er gemeenten zijn die toch in de APV een verdergaande

dat zo blijft.

registratieverplichting hebben opgenomen, dan adviseert het


handel en diensten CBP het hotel contact op te nemen met burgemeester en wet

Particuliere recherche

houders en hen te wijzen op de onrechtmatigheid van een der

In het najaar van 2007 heeft het CBP bij negentien particuliere

gelijke bepaling.

recherchebureaus ter plaatse een onderzoek verricht naar de

Als de hotels zelf om commerciële redenen aan hun gasten extra

naleving van de informatieplicht (artikel 33 en 34 Wbp). Deze

gegevens willen vragen, zoals adres, telefoonnummer of e-mail

plicht houdt in dat de bureaus na afloop van hun naspeuringen

adres en de contactgegevens van medereizigers, dan moeten zij

degene die zij hebben onderzocht daarvan op de hoogte bren

duidelijk maken dat het verstrekken van deze gegevens altijd vrij

gen. In het voorjaar van 2008 wordt het onderzoek afgerond en

willig is. Het is niet genoeg om met een sterretje in een veld aan te

zullen de resultaten bekend worden gemaakt. Het CBP zal de

geven dat invullen ervan facultatief is. Het hotel moet ook ade

bevindingen van het onderzoek doorgeven aan het ministerie van

quate informatie geven over wat er met die gegevens gebeurt en

Justitie, dat de vergunningen afgeeft aan de particuliere recherche

tot wie de gast zich moet wenden bij vragen daarover.

bureaus.

Naar aanleiding van de publicatie van de brief krijgt het CBP

Doorgifte van persoonsgegevens naar een land zonder passend beschermingsniveau

wederom veel vragen binnen over het kopiëren of scannen van id-bewijzen door bedrijven en instellingen.

Doorgifte van persoonsgegevens naar een land zonder passend

Permanente screening rechtspersonen

beschermingsniveau is op grond van de Wbp mogelijk indien

Bij het voorkomen van misbruik van rechtspersonen wil de minis

sprake is van één van de uitzonderingen van artikel 77, eerste lid

ter van Justitie overstappen van het onvoldoende effectieve pre

van de Wbp. Volgens het tweede lid van dit artikel is doorgifte ook

ventieve toezicht op doorlopende en risicogestuurde controle van

mogelijk indien de minister daarvoor een vergunning verleent,

rechtspersonen. Daarbij wordt de kring van personen over wie

gehoord het CBP. Dit betekent dat het CBP de minister adviseert.

gegevens kunnen worden vastgelegd, uitgebreid naar de leden en

Aan de vergunning kunnen nadere voorschriften verbonden wor

functionarissen van een rechtspersoon. Het blijft mogelijk ook van

den. In het kader van de administratieve lastenverlichting is in

echtgenoten en partners gegevens in de registratie op te nemen.

2007 de werkwijze ten aanzien van de advisering van een vergun

Nu met het wetsvoorstel een vorm van permanente screening

ningaanvraag met gebruik van een modelcontract beperkt. Als de

wordt beoogd, is het niet duidelijk in welke mate en in welke situ

verantwoordelijke aangeeft dat een modelcontract ongewijzigd is

aties persoonsgegevens over deze kring van personen kunnen

gebruikt en hiervoor getekend heeft, blijft controle of het model

worden verwerkt. Het CBP heeft in zijn advies over de voor

contract is gewijzigd of aangevuld achterwege. Ook de materiële

genomen wijziging van de Wet documentatie vennootschappen

toetsing blijft achterwege. De formele toetsing, zoals naar het

geoordeeld dat, gelet op de mogelijke grote inbreuk op de per

aanwezig zijn van een bevoegde handtekening en het compleet

soonlijke levenssfeer van de betrokkenen, een heldere omschrijving

zijn van de vergunningaanvraag, vindt wel plaats. Bij gewijzigde

van de gegevens of indicatoren wordt verschaft op basis waarvan

modelcontracten blijft zowel de formele als de materiële toetsing

de risicoprofielen worden opgesteld.

in stand.

>

OV-chipkaart “NS biedt mij een voordeelurenkaart aan, geplaatst op een gepersonaliseerde OV-chipkaart, voorzien van mijn pasfoto”, schrijft Johan. “Om redenen van privacy ben ik niet gediend van deze koppelverkoop. Ik heb NS gevraagd mijn voordeelurenkaart te plaatsen op een anonieme OV-chipkaart. Dat mijn pasfoto daarop zou staan vind ik geen probleem. Volgens NS kan dat echter niet. Die onmogelijkheid betwijfel ik.”


41

Internet Persoonsgegevens worden op heel veel manieren op het internet gepubliceerd. De negatieve gevolgen daarvan voor mensen, onder wie veel jongeren, kunnen groot zijn, bijvoorbeeld als het gaat om onbewezen verdenkingen of om details uit het persoonlijk leven. De in 2007 vastgestelde richtsnoeren van het CBP helpen verantwoordelijken te bepalen of publicatie van persoons gegevens op het internet wel of niet is toegestaan, of het nu gaat om de gegevens van iemand die een bouwvergunning aanvraagt, van een student die een kamer zoekt of van een scholier die gek doet op YouTube.

42


internet Richtsnoeren publicatie persoonsgegevens op internet

de richtsnoeren en stelselmatig de Wbp overtreden.

Persoonsgegevens worden op heel veel manieren op internet

citeit gegenereerd. Burgers maken ook intensief gebruik van de

gepubliceerd: via een website, in een discussieforum of in een

modelbrieven en bestoken het CBP met vragen over de publicatie

online dagboek. Publicaties op internet zijn over het algemeen

van hun persoonsgegevens op het net.

De verschijning van de richtsnoeren heeft bijzonder veel publi

wereldwijd vierentwintig uur per dag toegankelijk voor een omvangrijk en divers publiek. “Sommige persoonlijke informatie

Kinderen en internet

wil je niet je hele leven achternagedragen krijgen”, zegt Madeleine

Op 27 november 2007 heeft het CBP deelgenomen aan een druk

McLaggan. “Schoolcijfers bijvoorbeeld zijn belangwekkende

bezocht debat over Social Networking Sites en kinderen. Het CBP

gegevens voor toekomstige werkgevers”. Voor mensen van wie de

heeft tijdens dit debat toegelicht aan welke regels beheerders van

persoonsgegevens op internet staan, onder wie veel jongeren,

sociale netwerksites zich dienen te houden. Als het gaat om pro

kunnen de negatieve gevolgen groot zijn, bijvoorbeeld als het

fielen van jongeren onder de zestien jaar dienen de sites vooraf

gaat om onbewezen verdenkingen of intieme details uit het

toestemming te krijgen van de ouders. Voorts moeten de sites de

persoonlijk leven. “Internetgebruikers verkeren vaak in de veron

profielen altijd afschermen voor zoekmachines en buitenstaan

derstelling dat als ze persoonlijke informatie op het web publi

ders en de gebruikers zo goed mogelijk voorlichten over de risico's

ceren, alleen vrienden dat bekijken. Maar dat is een misvatting”,

van het publiceren van intieme informatie op internet. Het debat

aldus McLaggan.

heeft tot veel publiciteit geleid.

Het CBP heeft in 2007 een tweesporenbeleid in gang gezet. In de eerste plaats heeft het richtsnoeren ontwikkeld voor de publicatie

Ten aanzien van minderjarigen heeft het CBP zich tevens ingezet

van persoonsgegevens op internet. De richtsnoeren, waarin veel

voor striktere regels met betrekking tot online marketing. Binnen

voorbeelden zijn opgenomen, helpen iedereen die op internet

de Artikel 29-werkgroep heeft het CBP zich ingezet voor aanscher

publiceert om te beoordelen of het publiceren van persoons

ping van de concept gedragscode voor online marketing van

gegevens op internet onder de privacywetgeving is toegestaan.

Europese marketeers (verenigd in de FEDMA). De gedragscode

De definitieve versie van deze beleidsregels is op 11 december

moet volgens het CBP een expliciet verbod gaan bevatten op het

2007 in de Staatscourant gepubliceerd. In de tweede plaats biedt

verleiden van jongeren om hun persoonsgegevens en die van

het CBP op de website www.mijnprivacy.nl een pakket voor

anderen te verstrekken in ruil voor kans op een prijs of deelname

lichtingsmateriaal, tips en adviezen en modelbrieven voor bur

aan een (gratis) online game. De FEDMA heeft positief gereageerd

gers. Dit materiaal geeft aan wat burgers zelf kunnen doen om

op de voorstellen van de Artikel 29-werkgroep en hoopt de nieu

hun persoonsgegevens, of die van hun kinderen, op internet te

we gedragscode in het voorjaar van 2008 ter goedkeuring aan de

beschermen en wat zij kunnen ondernemen in geval van onrecht

werkgroep voor te kunnen leggen.

matige publicatie van hun persoonsgegevens. om bij niet-naleving van deze regels zelf actie te ondernemen

Publicatie van persoonsgegevens op internet door de overheid

grote problemen blijken te blijven bestaan, zal het CBP in 2008

In 2007 heeft het CBP onderzoek gedaan naar de manier waarop

handhavend optreden tegen bedrijven die zich niet houden aan

de gemeente Nijmegen gegevens over bouwvergunningen

Als er ondanks de helderheid over de regels en de mogelijkheid

>

Stamboom Een ver familielid van Karel heeft een stamboom samengesteld. Het is een boekwerk geworden dat teruggaat tot 1390 en ongeveer 600 bladzijden telt. Karel heeft voor het boek zijn gegevens verstrekt en het ook gekocht voor €100. Tot zover niets aan de hand. Alleen …door toeval stuit Karel op het internet op een site waarop grote delen van het boek te vinden zijn, inclusief de namen van naaste familieleden, met wie zij getrouwd zijn, hun beroep, etc. “Je kunt voortdurend doorlinken”, schrijft Karel. “Ik heb hier zo mijn bedenkingen bij. Kan dit?”


43

> activiteiten bekendmaakt. De gemeente publiceert integraal ingescande aan vraagformulieren voor bouwvergunningen op internet, met per soonsgegevens zoals naam, adres en woonplaats, contactgege vens, de handtekening en alle details met betrekking tot de aan gevraagde vergunning, inclusief een inschatting van de beoogde kosten. Het gaat zowel om afgeronde projecten als om lopende aanvragen en beschikkingen. Kern van het onderzoek is de vraag of de gemeente met de publicatie op internet van de integraal gescande documenten de wet overtreedt. De gemeente zou moeten volstaan met publicatie van verplichte gegevens, te weten het pand en het voornemen dat te verbouwen en hoe. Alle andere gegevens horen niet thuis op het internet. Inherent aan de publicatie op internet is immers dat onbekende derden de gegevens op allerlei manieren kunnen gebruiken, op een wijze die niet evenredig is aan het doeleinde van de publicatie ervan op internet. Het kan daarbij gaan om gebruik voor direct marketingdoeleinden als het gaat om de fysieke en elektronische contactgegevens, maar ook om het beramen en/of plegen van misdrijven als diefstal, inbraak en identiteitsfraude. Het CBP verwacht de definitieve bevindingen in dit onderzoek begin 2008 te kunnen versturen. In het algemeen geldt dat de voor een goede vervulling van een publiekrechtelijke taak noodzakelijke verstrekking van bepaalde gegevens aan een bestuursorgaan niet rechtvaardigt dat alle

bank- of girorekening op de zwarte lijst van Fraudecheck.nl stond,

gegevens automatisch ook op internet worden gepubliceerd. Dat

verscheen de waarschuwing dat voorzichtigheid was geboden.

geldt ook voor bestuursorganen die actieve openbaarmaking

Ook werd in dat geval geadviseerd de goederen af te halen en pas

overwegen in het kader van de Wet openbaarheid van bestuur

bij ontvangst te betalen. De geregistreerde rekeningnummers

(Wob). Met het oog op de privacyaspecten van actieve openbaar

zouden vooral van personen zijn die op veilingsites goederen te

making zal het CBP in 2008 beleidsregels publiceren over de ver

koop aanboden maar deze na betaling via het opgegeven reke

houding tussen de Wbp en de Wob.

ningnummer niet leverden. De site bood onvoldoende waarbor gen voor rekeninghouders die ten onrechte op de lijst werden

Website Fraudecheck

geplaatst.

De website Fraudecheck.nl heeft zijn activiteiten gestaakt na con

Bedrijven, organisaties en instellingen kunnen een gerechtvaar

tact met het College bescherming persoonsgegevens. De website

digd belang hebben bij het instellen van een zwarte lijst. De cen

houder kwam tot de conclusie niet te kunnen voldoen aan de

trale vraag is hoe dat belang zich verhoudt tot de gevolgen voor

wettelijke eisen die aan een zorgvuldige verwerking van per

een individu van plaatsing op de lijst. Het vergrijp of het wange

soonsgegevens voor zwarte lijsten worden gesteld. Zonder betere

drag moet zo ernstig zijn dat plaatsing gerechtvaardigd is. De Wet

waarborgen zoals een goede klachtenregeling over de zwarte lijst

bescherming persoonsgegevens biedt handvatten voor het

kon ernstige benadeling van burgers niet worden uitgesloten. Het

gebruik van een zwarte lijst. Zonder de juiste waarborgen is een

CBP zou aan de oorspronkelijke inrichting van de zwarte lijst niet

zwarte lijst verboden. Verder is van belang dat het volgens de CBP-

de gevraagde goedkeuring hebben verleend. Meer in het alge

Richtsnoeren Publicatie van persoonsgegevens op internet niet is

meen geldt dat het publiceren op internet van verdachtmakingen

toegestaan een zwarte lijst met strafrechtelijke gegevens zonder

grote risico’s meebrengt, zeker als het gaat om burgers die oncon

afscherming op internet te publiceren, tenzij de betrokken per

troleerbaar beweringen doen over elkaars gedrag.

soon hiervoor toestemming heeft gegeven of de gegevens duide lijk zelf openbaar heeft gemaakt.

Fraudecheck.nl wilde kopers op internet beschermen tegen frau deurs op internet. Op de internetsite van Fraudecheck.nl kon iedereen een bank- of girorekeningnummer intoetsen. Indien een

44


Overdracht van een e-mailbox Uit de SP!TS van 12 december 2007.

Een bedrijf had per ongeluk het e-mailadres van een klant overge dragen aan een nieuwe klant. De nieuwe klant had daarna drie

“Duidelijkheid over de regels bevordert de naleving en past in een efficient

maanden lang toegang tot de mail van de oude klant. Voor de oude

handhavingsbeleid.

klant was ongevraagd een nieuw e-mailadres aangemaakt. Die was

Direct na het van kracht worden van de richstnoeren over het publiceren van

over deze onzorgvuldige gang van zaken op zijn zachtst gezegd

persoonsgegevens op internet merkten wij - aan de vele reacties en de grote

niet blij en diende een klacht in bij het CBP. Het CBP is van oordeel

publieke belangstelling - dat consumenten maar ook bedrijven, scholen,

dat het niet onmiddellijk in actie komen door het bedrijf zodra de

ziekenhuizen en anderen die persoonsgegevens op internet publiceren

fout was gemeld en het drie maanden lang in stand laten van een

de richtsnoeren meteen zijn gaan gebruiken. Ook merken wij dat in toe

situatie waarin het houderschap van een e-mailbox op goede gron

nemende mate ouders maatregelen gaan nemen om hun kinderen te

den kon worden betwist, in strijd is met de Wbp. Het daarnaast ook

beschermen tegen de vaak onomkeerbare gevolgen van het te lichtvoetig

nog eens telefonisch doorgeven van de naam en woonplaats van de

prijsgeven van hun privacy op internet.

nieuwe houder aan de oude houder wijst bovendien niet bepaald

De richtsnoeren hebben de bewustwording van de gevaren van het publi

op beveiligingsbewustzijn. Het bedrijf heeft erkend dat de klacht

ceren van gevoelige gegevens op internet, én de algemene naleving van

terecht was.

de wet nu al vergroot. Het CBP blijft de naleving van de privacyregels op internet monitoren en zal, daar waar de regels structureel niet nageleefd

Stemwijzer verbeterd

worden, èn waar sprake is van ernstige voortdurende schendingen van de

Het Instituut voor Publiek en Politiek heeft maatregelen genomen

privacy van veel mensen, zonodig handhavend optreden”.

om de IP-adressen van gebruikers van de stemwijzersite uiterlijk binnen drie maanden na afloop van de verkiezingen van 2007 te

Madeleine McLaggan

versleutelen. Daardoor is het niet meer mogelijk om de politieke voorkeuren van de gebruikers te achterhalen. Ook zijn alle histori sche IP-adressen van de verkiezingen sinds 2006 versleuteld. Het Instituut heeft zelf actie ondernomen naar aanleiding van kritische

Onbeveiligde verbinding aangepast

stukken in de media en berichten dat het CBP een onderzoek zou

Studenten die in Amsterdam of omstreken een kamer zoeken, kun

starten. Daardoor zag het CBP daartoe geen aanleiding meer.

nen zich via een website inschrijven voor studentenwoningen van enkele woningcorporaties. Bij in elk geval een van die woningbouw

Auteursrechtelijk beschermde bestanden

verenigingen is elektronische inschrijving verplicht. Bij het inschrij

In 2007 heeft het CBP een onderzoek beëindigd dat het had inge

ven worden veel persoonlijke gegevens gevraagd. Die gegevens

steld naar het door de stichting Brein inschakelen van professionele

worden via de site online verzameld. Het CBP is er in 2007 op geat

derden en/of bewerkers bij het uitvoeren van onderzoeken naar het

tendeerd dat de website daarbij geen beveiligde verbinding

onrechtmatig aanbieden van auteursrechtelijk beschermde bestan

gebruikte. Het risico bestond dat partijen voor wie die gegevens

den. Brein had aangegeven niet langer van de diensten van zulke

niet bestemd zijn daarvan kennis kunnen nemen, bijvoorbeeld door

derden gebruik te maken, waarmee de aanleiding voor het onder

het overnemen van sessies of door diefstal op internetknooppun

zoek kwam te vervallen. Het CBP heeft de stichting Brein er bij het

ten. Bovendien zal niet iedereen die zich in wil schrijven bedacht

staken van het onderzoek op gewezen dat zij op grond van de Wbp

zijn op pogingen tot ‘phishing’ – het frauduleus bij een onbeveilig

verplicht blijft personen over wie zij persoonsgegevens verzamelt

de site proberen in het bezit te komen van gegevens – in dit geval

daarover te informeren, en dat doorgifte van persoonsgegevens

uitgebreide sets van gegevens van bestaande personen. Het CBP

slechts is toegestaan indien daarop een van de uitzonderingen van

heeft de site op deze risico’s gewezen. Het invoerformulier is inmid

artikel 77 Wbp van toepassing is.

dels beveiligd met behulp van het SSL-protocol.

>

Iedereen op het net “Als je mijn naam intypt bij Google, kom je bij een site waarop staat met wie ik ben gehuwd en in welk jaar, onze geboortedata en dat van onze kinderen en hoe die heten. Ook staan op deze lijst al deze vermeldingen van alle mensen uit onze straat. Daar hebben wij nooit toestemming voor gegeven! Kan dat zomaar? En wat kunnen wij daar tegen doen?”


45

Organisatie In 2007 is besloten tot een koerswijziging. Teneinde zijn toezicht houdende taak met maximaal resultaat te kunnen uitoefenen, heeft het CBP in 2007 het besluit genomen om meer prioriteit te geven aan het in het voorwoord aangeduide ‘vierde spoor’: handhavend optreden. Deze koerswijziging vraagt om een organisatiemodel dat daarop is toegesneden. Om de slagvaardigheid van zijn optreden te vergroten, werkt het CBP onder meer aan interne versterking van de onderzoeksvaardigheden en van de juridische competentie.

46

Jaarverslag 2007 > organisatie

Met het organisatorisch veranderproces is in 2007 een start gemaakt. Dat gebeurt langs de lijnen van inhoudelijk gericht werken naar resultaat gericht werken; van voornamelijk vraaggestuurd werken naar proactief werken; van ad hoc behandeling van dossiers naar projectmatig werken en van intern/zaakgericht opereren naar strategisch denken gericht op extern resultaat. In 2008 zal dit proces worden voortgezet en verder geïmplementeerd.

Concrete projecten Om de uitvoering van de toezichthoudende taak te versterken heeft het CBP in 2007 sterk geïnvesteerd in het ontwikkelen en verbeteren van werkwijzen en instrumenten. Een groot aantal medewerkers heeft een cursus projectmatig werken gevolgd en de werkwijze vervolgens projectmatig ontwikkeld en geïmplementeerd. Er is een traject gestart gericht op het versterken van het handhavend vermogen van de organisatie. Hierbij horen onder meer duidelijker instructies voor het inzetten van de handhavende bevoegdheden, vastgelegd in een hand leiding, en een trainingsprogramma waarin het doen van zorgvuldig onderzoek en het verantwoord gebruiken van de aan het CBP toegekende bevoegdheden centraal staan. Daarnaast wordt gewerkt aan een model voor informatie- en risicoanalyses. Door het versterken van de informatieanalyse is het CBP beter in staat om zicht te behouden op die ontwikkelingen in de samenleving die voor het CBP relevant zijn voor de uitoefening van zijn taken. Het maken van risicoanalyses biedt beter zicht op de risico’s die zich ten aanzien van persoonsgegevens voordoen en van de mogelijkheden om die risico’s te beperken. Het CBP beschikt over beperkte capaciteit en middelen en moet derhalve keuzes maken op welk gebied en ter zake van welke feiten het deze beperkte middelen inzet. Op basis van risicoanalyses kan het CBP beter gemo tiveerd prioriteiten stellen.

Personeel en formatie De ondernemingsraad Het besluit van het CBP meer handhavend op te treden met de daarbij horende organisatorische aanpassingen heeft ook voor een volle agenda van de ondernemingsraad (OR) gezorgd. In januari is een verandermanager aangesteld. De OR heeft regelmatig met de verandermanager overleg gevoerd en heeft de bestuurder geadviseerd met betrekking tot voorstellen van de verandermanager. Daarnaast is de OR betrokken bij de voorgenomen invoering van een tijdschrijf- respectievelijk planning en controlsysteem. In het overleg met de bestuurder is voorts aan de orde geweest de uitkomst van het in december 2006/januari 2007 gehouden medewerkerstevredenheidsonderzoek. Tot slot is de OR in 2007 betrokken geweest bij de aanbestedingsprocedure om te komen tot een nieuw contract met een arbodienstverlener.


47

Formatie Uitgangspunt voor de formatie in 2007 was: 75 fte. Gemiddeld is deze bezetting bijna gehaald: 74.46. Aan het eind van het jaar waren er drie vacatures. Werken bij het CBP is enerzijds aantrekkelijk voor goed opgeleide mensen die op het onderwerp privacy hun kennis verder willen ontwikkelen. Voor de persoonlijke ontwikkeling is een ver volgstap extern een logische. Met een zeker personeelsverloop moet dan ook steeds rekening worden gehouden. In 2007 zijn relatief veel medewerkers vertrokken die al geruime tijd bij het CBP hadden gewerkt. Het verloop was daardoor iets groter dan gemiddeld en gaf aanleiding tot zorg wat betreft het borgen van de kwaliteit en de continuïteit van het werk. Zestien mede werkers vertrokken, zeventien nieuwe medewerkers zijn in dienst gekomen. Het is niet een voudig om personeel met specifieke expertise en ervaring op de verschillende beleidsterreinen te werven. Investeren in werving en selectie en de begeleiding bij het inwerken van nieuwe medewerkers blijft noodzakelijk. formatie 2005-2007

2005

2006

2007

m

v

m

v

m

v

In dienst

0

8

5

13

3

14

Uit dienst

5

5

1

6

9

7

Bezetting einde jaar m / v

21

48

26

54

20

61

Bezetting einde jaar totaal

Fulltime

69

16

25

80

21

41

81

18

46

In tijdelijke dienst

7

18

17

Fulltime in dienst

62

62

64

Gemiddelde bezetting (fte’s)

59,6

67,59

74,46

Bezetting einde jaar totaal (fte’s)

62,5

72,6

72,10

Vacatures per einde jaar

9

3

Uitzendkrachten (fte's)

0

0,17

0,28

Stagiaires (fte's)

1,50

3,30

3,01

Interim (fte's)

0,34

0

3

Overzicht medewerkers buiten formatie

48


1,61

Ziekteverzuim Het ziekteverzuim is gestegen en ongeveer terug op het niveau 2005. In het Sociaal Medisch Team wordt periodiek afgestemd met de bedrijfsarts en de personeelsfunctionaris en zonodig gezocht naar passende oplossingen. De beleving van de werkdruk is een blijvend aandachts punt. overzicht ziekteverzuim , zwangerschaps - en ouderschapsverlof en overige personele informatie 2005-2007

2005

2006

2007

Totaal ziekte excl. zwangerschap

5,82%

3,58%

6,04%

Waarvan langdurig verzuim

2,55%

0,41%

2,40%

Ouderschapsverlof

6

9

Verlof zwangerschap/bevalling

11

2

5

7

2

1

2

Opleiding (EUR x 1.000)

105

142

141

Opleiding in % t.o.v. p-budget

2,65%

3%

2,85%

Seniorenregeling

Mandaatregeling De Regeling mandaat beheer directeur CBP en de Regeling volmacht en machtiging beheer afdelingshoofden, coördinatoren en controller CBP is vastgesteld en bekendgemaakt in de Staatscourant nr. 72, 11 april 2006. Met de Regeling mandaat beheer directeur CBP draagt de voorzitter van het CBP de dagelijkse leiding voor beheerszaken over aan de directeur van het secretariaat. In de Regeling volmacht en machtiging beheer afdelingshoofden, coördinatoren en controller CBP geeft de directeur volmacht en machtiging voor bepaalde beheerstaken aan de afdelingshoofden, coördinatoren en de controller. Het Besluit mandaat en machtiging voorzitter en andere leden CBP en het Besluit mandaat en machtiging secretariaat CBP is vastgesteld en bekendgemaakt in de Staatscourant nr. 83, 28 april 2006. De Besluiten geven individuele collegeleden en medewerkers van het CBP de bevoegd heid om bepaalde besluiten zelfstandig te nemen. Op de website van het CBP wordt eveneens een regeling gepubliceerd waarin de taakverdeling en onderlinge vervanging van de college leden is vastgelegd.

Integriteit Als toezichthouder dient het CBP toegang te hebben tot informatie bij verantwoordelijken dat als ‘staatsgeheim’ is aangemerkt. In beperkte mate dient deze informatie ook bij het CBP te kun nen worden opgeslagen. Voor het archiveren van dergelijke dossiers heeft het CBP specifieke maatregelen getroffen. Er is voorzien in een afgesloten ruimte en in kluiskasten. De notitie Beleid veiligheidsonderzoeken van december 2005 (voor beperkte kring beschikbaar), besteedt hier speciale aandacht aan. Enkele functionarissen zijn op basis van hun functie onderworpen aan een veiligheidsonderzoek (A-screening).


49

Productie productie 2005-2007

2005

2006

Wetgevingsadvies

51

40

47

28

Gedragscodes

0

3

0

3

Reglement WPR (tot 1 sept. 2001) en WpolR

8

3

14

Wbp-meldingen vanaf 01-09-2001

4.865

4.130

3.975

4.500

97

93

100

100

Voorlichtingsverzoeken, verzoeken om advies + presentaties

637

635

524

550

Internationale zaken

62

61

80

50

Ontheffing bijzondere gegevens

2

1

1

2

Voorafgaand onderzoek

2007 Prognose

10

Gegevensverkeer doorgifte derde landen

30

38

93

25

Bemiddeling en klachten

355

394

396

400

Ambsthalve onderzoek

25

42

49

Nacontrole bij verantwoordelijke

8

41

12

Boete

9

3

0

25

Dwangsom

2

0

39

5

Bestuursdwang

0

2

0

1

Beroep

14

2

9

8

Bezwaar

6

2

5

10

Wet openbaarheid bestuur

5

4

10

5

Incasso

9

0

2

n.v.t.

Toegezonden uitspraken

10

7

8

n.v.t.

Algemene voorlichting (telefonisch spreekuur)

3.253

3.280

2.815

3.500

Algemene voorlichting (via e-mail)

3.039

2.959

3.113

3.000

Afgehandelde klachten over het CBP

16 12

14

Werkvoorraad per einde van het jaar

387

410

454

70 n.v.t.

15 n.v.t.

Toelichting op de productie Wbp-meldingen Het aantal meldingen bij het CBP voor registratie in het openbaar register begint naar de verwachte hoogte te groeien. Inmiddels maakt 67% van de melders gebruik van het meldings programma via internet. meldingen wbp, functionarissen gegevensbescherming2005-2007

50

2005

2006

2007

Meldingen Wbp in openbaar register

27.999

30.078

32.349

Functionarissen voor de gegevensbescherming


183

195

240

Ambtshalve onderzoek en preventieve controle Ambtshalve onderzoek vindt plaats op basis van: – de gekozen beleidsterreinen/sectoren of branches die zijn opgenomen in het beleidsplan; – een ernstige klacht of een signaal uit de samenleving en – een onderzoek van de branche in een eerder jaar, waarbij verbeterpunten zijn afgesproken met de branche en/of de verantwoordelijke. Deze laatste groep van onderzoeken is vastgelegd als ‘nacontrole bij verantwoordelijke’. Er zijn in 2007 in totaal 61 onderzoeken uitgevoerd.

Boetes In 2007 is besloten om geen prioriteit te geven aan onderzoeken naar de naleving van de meldingsplicht.

Dwangsom In de prognose voor 2007 was voorzien in het ongeveer vijf keer moeten opleggen van een dwangsom naar aanleiding van de controle op de naleving van de GBA-audit. Er zijn 39 dossiers afgehandeld van gemeenten die niet tijdig aan hun verplichting hadden voldaan. Uiteindelijk was het in vier gevallen noodzakelijk om daadwerkelijk een dwangsom op te leggen.

Bezwaar en beroep Door een serieuze behandeling van heroverwegingsverzoeken is het aantal bezwaren beperkt tot de helft van het aantal dat was verwacht.

Werkvoorraad Ook het afgelopen jaar heeft het CBP de mogelijkheden voor verbetering van de efficiency onder de loep genomen. Het aantal telefonische verzoeken om voorlichting of advies is iets gedaald, maar het aantal verzoeken om voorlichting/advies via e-mail gestegen. Algemene voorlichting en vragen van burgers moeten enerzijds tot gestandaardiseerde informatie leiden die geplaatst kan worden op de website en/of in een informatieblad en anderzijds tot een snel en adequaat antwoord, waarbij de verzoeker waar mogelijk wordt verwezen naar helpdesks van een specifiek beleidsterrein. Het CBP is er voor de burger, maar is niet van de burger. Bij het reageren op vragen om voorlichting evenals op klachten en bemiddelingsverzoeken wordt geselecteerd op zaken die wat betreft maatschappelijke effectiviteit tot de beleidsprioriteiten van het CBP behoren. Voor het in behandeling nemen van verzoeken om advies dient het CBP strikt de selectiecriteria toe te passen zoals bekend gemaakt via de beleidsregels (zie Uitgangspunten en beleidsregels werkwijze CBP in de Staatscourant nr. 190 van 4 oktober 2004 en op de website van het CBP). Dit betekent dat het CBP individuele verzoeken niet altijd in behandeling kan nemen. Het CBP motiveert zijn afwijzing zo veel als mogelijk met een doorverwijzing naar een andere instantie.

Zelfregulering en certificering De door het CBP en zijn voorganger de Registratiekamer in samenwerking met marktpartijen ontwikkelde zelfreguleringsproducten bieden organisaties handvatten om aan de naleving van de Wet bescherming persoonsgegevens op een proactieve manier invulling te geven en hun administratieve bedijfsprocessen door externe privacyauditors te laten toetsen. Inmiddels worden de zelfreguleringsproducten drie jaar toegepast.


51

Communicatie De zichtbaarheid van de toezichthouder is in 2007 wederom groter geworden. De websites worden goed bezocht en in de media heeft het CBP het afgelopen jaar veel aandacht gekregen. Het aantal abonnees van de elektronische nieuwsbrief blijft stijgen (2005: 4.617; 2006: 5.214; 2007: 5.640). Grotere bekendheid en meer publiciteit genereren ook meer vragen. Voorlichting (via de web site, via e-mail, op schrift en telefonisch) is een kerntaak van het CBP. Aan de hand van de vragen wordt de informatie over wat wel en niet is toegestaan ten aanzien van de verwerking van persoonsgegevens op de site en in informatiebladen regelmatig bijgewerkt en verfijnd. Dat betekent dat in toenemende mate vragenstellers naar die informatie kunnen worden verwezen. Zij kunnen op www.cbpweb.nl en www.mijnprivacy.nl zelf het antwoord op hun vraag vinden. aantallen e - mails en telefonische vragen

2000 1800 1600 1400 1200 1000 800 600 400 200 0

4e kw 06

1e kw 07

2e kw 07

3e kw 07

4e kw 07

1430

1788

1388

1164

1549

4e kw ’06

1e kw ’07

Handel en Dienstverlening

500

607

428

377

548

Arbeid

267

310

243

211

273

Openbaar Bestuur

250

318

238

202

259

Zorg en Welzijn

2e kw ’07 3e kw ’07 4e kw ’07

152

215

189

128

168

Overige Instellingen

81

92

74

51

104

Betrokkene

64

101

92

78

80

Telecom

40

54

30

46

43

Politie en Justitie

40

61

47

45

39

Sociale Zekerheid

19

19

31

19

21

Internationale organisaties

17

11

16

7

14

Website De site neemt een prominente plaats in bij voorlichting van zowel de betrokkene (degene van wie persoonsgegevens worden gebruikt) als de verantwoordelijke (degene die persoons gegevens van anderen verwerkt). De nieuwe loot aan de website, www.mijnprivacy.nl, is eind januari 2007 in gebruik genomen. Mijnprivacy.nl richt zich in het bijzonder op het algemene publiek. De oorspronkelijke website richt zich meer op professionele gebruikers.

52


Op 28 januari 2008, de Europese Dataprotectiedag, is mijnprivacy.nl verrijkt met een signaal functie. Door het invullen van een korte questionnaire kunnen burgers een signaal geven over een mogelijke inbreuk op het privacyrecht. De signaalfunctie heeft een tweeledig doel. In de eerste plaats wordt beoogd de betrokkenheid van het publiek met privacyvraagstukken te ver groten. In de tweede plaats kan het CBP door deze signalen te verzamelen en te analyseren gerichter besluiten een ambtshalve onderzoek in een bepaalde sector te starten. Een maand na introductie ervan hebben 84 bezoekers van mijnprivacy.nl het signaalformulier ingevuld.

Perscontacten Het CBP heeft dagelijks contact met landelijke media. Het aantal contacten is opnieuw toe genomen. overzicht perscontacten 2005-2007

Medium

2005

2006

2007

Persbureaus

63

41

39

Landelijke dagbladen

106

93

113

Landelijke radio en televisie

130

100

155

Regionale kranten

39

57

39

Regionale radio en televisie

13

40

17

(Vak)bladen

41

50

51

Online media

–

–

29

–

–

31

Overige

Totaal

392 381 474

Klachten over het CBP In de Algemene wet bestuursrecht is geregeld dat iedereen over de wijze waarop een bestuurs orgaan zich tegenover hem of haar heeft gedragen, een klacht kan indienen bij dat orgaan. Onderstaand overzicht geeft het aantal ingediende schriftelijke klachten weer met de wijze van afdoening. Eén van de klachten heeft geleid tot een vervolgklacht bij de Nationale ombudsman. overzicht klachten over het cbp 2004-2006

2005

2006

Klachten ongegrond verklaard

2

4

2007 11

Klachten gegrond verklaard

0

2

0

1

1

1

Minnelijke regeling/geen oordeel/ingetrokken/ andere wijze van afdoening/nog in behandeling

3

5

2

Klachten gedeeltelijk gegrond verklaard

Nog in behandeling per einde van het jaar

3

3

2

Totaal aantal ontvangen klachten

7

12

13

Heroverwegingen Verzoeken om heroverweging (en klachten over het CBP) worden vaak ingediend omdat de betrokkene het er niet mee eens is dat de eigen klacht geen prioriteit krijgt of dat het CBP deze niet van voldoende zwaarwegend belang acht om over te gaan tot een controlerend onderzoek. Het scherpere selectiebeleid van het CBP bij het in behandeling nemen van zaken die worden voorgelegd, heeft geleid tot meer verzoeken om een beslissing te heroverwegen. Jaarverslag 2007 > organisatie

53

overzicht heroverwegingen 2005-2007

2005

2006

2007

Heroverwegingen ongegrond verklaard

14

13

36

Heroverwegingen gegrond verklaard

5

6

3

0

1

4

Minnelijke regeling/geen oordeel/ingetrokken/ andere wijze van afdoening/nog in behandeling

3

2

1 0

Heroverwegingen gedeeltelijk gegrond verklaard

Nog in behandeling per einde van het jaar

1

4

Totaal aantal ontvangen heroverwegingen

17

25 40

Financiën begroting ( stand per 12 juli 2007 , bedragen x 1000 euro )

2007

2008

2009

2010

2011

6.147

6.050

6.056

6.055

6.055

2005

2006

2007

budgetuitgaven 2005-2007 ( bedragen x 1000 euro )

Personeel

3.875,8 4.046,7 4.782,3

Materieel

1.603,9 1.634,8 1.245,2

Aanschaffingen

170,3

20,3

50,3

92,2

n.v.t.

n.v.t.

Terugbetaalde boetes in 2005 van 2004

Totaal

4.870,8 5.701,8 6.077,8

Toelichting Het budget 2007 werd op een procent na geheel besteed. De kosten van interim advies / management waren niet begroot, maar konden toch in 2007 worden betaald, voor zover facturen werden ontvangen door het CBP. Tijdens de algemene en politieke beschouwingen over de begroting voor 2008 in de Tweede Kamer heeft de minister van Justitie in reactie op een door de Kamer aangenomen motie de toe zegging gedaan het budget van het CBP met een miljoen euro te zullen verhogen. inkomsten uit opgelegde boetes en dwangsommen 2005-2007 ( bedragen x 1000 euro )

2005

2006

2007

Inkomsten

16,8

12,6

20,3

Bezoldiging collegeleden Bij Besluit rechtspositie leden College bescherming persoonsgegevens (Staatsblad 2001, 382) is de bezoldiging van de voorzitter van het College vastgesteld op het maximum van salarisschaal 18 van bijlage B van het Bezoldigingsbesluit Burgerlijke Rijksambtenaren 1984. Voor de overige leden geldt het maximum van schaal 17. De voorzitter is op grond van artikel 22 a van het Bezoldigingsbesluit Rijksambtenaren 1984 een toeslag toegekend en een representatievergoeding op grond van het Besluit vergoeding representatiekosten rijkspersoneel. In 2007 is gestart met het opnieuw bezien van de bezoldiging van de collegeleden.

54


Uitgaven per beleidsterrein /sector De keuzes voor inzet van de personele kosten zijn gemaakt op basis van het beleidsplan en de daarbij vastgestelde doelstellingen voor het jaar 2007. De tabel kosten per beleidsterrein/sector biedt inzicht in hoe het CBP zijn middelen heeft verdeeld over de verschillende aandachts gebieden. uitgaven per beleidsterrein / sector 2004-2006

( bedragen

x 1000 euro )

2005

2006

2007

Maatschappelijke sectoren Overheid

852

1.158

1.123

Zorg en inkomen

838

984

917

Bedrijfsleven

914

889

960

Beleidsterrein internationaal

Internationaal

122

161

217

Onderzoek

Onderzoek

862

754

888

Beheer en meldingen en openbaar register

Bestandsbeheer

322

199

302

Communicatie

Communicatie

498

480

540

Frontoffice voor de sectoren

369

515

579

Juridische Zaken

Sancties rechtsbescherming en institutionele zaken

456

512

559

Uitgaven internationale samenwerking Het belangrijkste forum voor het CBP in de eerste pijler van de Europese Unie is de Werkgroep van nationale toezichthouders als bedoeld in artikel 29 van Richtlijn 95/46/EG, die optreedt als adviseur van de Europese Commissie en als forum voor afstemming van beleid tussen de betrokken toezichthouders. Het CBP is vertegenwoordigd in onder meer de volgende sub groepen: − Justice, Freedom and Security (JLS); veiligheid en terrorismebestrijding − Employment (voorbereiding aanbevelingen inzake privacy en arbeid) − Contracts & Binding Corporate Rules (modelcontracten voor doorgiften naar derde landen) − Internet Task Force (harmonisatie handhaving en gezamenlijke handhavingsacties internet en privacy) − PNR (doorgifte passagiersgegevens) − Personal Data & RFID (toepassing begrip ‘persoonsgegevens’ bij nieuwe technologie). Het CBP heeft zitting in het Raadgevend Comité van het Verdrag van Straatsburg. Het CBP neemt op ambtelijk en collegeniveau deel aan de jaarlijkse conferentie van Europese toezichthouders op de bescherming van persoonsgegevens en de daaraan verbonden werk groepen: − Case Handling Workshops (voorheen Complaints Workshops); deze bijeenkomsten zijn spe ciaal bedoeld voor uitwisseling van best practices tussen de medewerkers van de verschil lende Data Protection Authorities en vinden twee maal per jaar plaats (in 2007 in Helsinki en Lissabon). − Working Party on Police.


55

Het CBP neemt op ambtelijk en collegeniveau deel aan de jaarlijkse internationale conferentie van toezichthouders op de bescherming van persoonsgegevens. Het CBP neemt op ambtelijk niveau deel aan de halfjaarlijkse International Working Group on Data Protection and Telecommunications. CBP-collegeleden zijn, daarbij vanuit het CBP ambtelijk ondersteund, vertegenwoordigd in diverse toe zichthoudende organen binnen de derde pijler van de EU. Ook worden gezamenlijk audits uitgevoerd. Het betreft de volgende organen: − Gemeenschappelijke Controle-autoriteit Schengen-informatiesysteem − Gemeenschappelijke Controle-autoriteit Douane-informatiesysteem − Gemeenschappelijke Controleorgaan Europol − Controleorgaan Eurojust reisdagen internationaal overleg

2005

2006

Internet Taskforce

10

9

2007 4

Artikel 29-werkgroep (Richtlijn 95/46/EG)

42

45

61

Adviescommissie T-PD (artikel 18, dataverdrag van Straatsburg)

14

4

4

Berlijnwerkgroep (telecom)

9

0

6

Europese Case Handling Workshop

14

12

20

Europese en mondiale conferenties van privacytoezichthouders

46

48

44

Overige

34

24

30

reisdagen gemeenschappelijke controleorganen / coördinatiegroep

56

2005

2006

2007

GCA Schengen

13

11

3

GCO Europol

6

21

3

Beroepscomité

3

0

3

GCA Douane

1

6

3

GCA Eurodac

0

4

3


Taken CBP • Deelname aan internationale fora en Europese coördinatie toezicht • Advisering over wetsvoorstellen en ontwerp-algemene maatregelen van bestuur (art. 51, tweede lid Wbp) • Toetsing gedragscodes (art. 25 Wbp) en in voorkomende gevallen reglementen • Het onderzoeken en registreren van meldingen van gegevensverwerkingen (art. 27 e.v.) • Het geven van voorlichting • Het verlenen van ontheffingen voor de verwerking van bijzondere persoonsgegevens (art. 16 Wbp) • Adviseren van de minister van Justitie over doorgifte persoonsgegevens aan derde landen (art. 77 lid 2 Wbp) • Bemiddeling en klachtenbehandeling (art. 47 Wbp) • Het uitvoeren van ambtshalve onderzoeken (art. 60 Wbp) • Het opleggen van bestuurlijke boetes (art. 66 Wbp) • Het opleggen van een dwangsom of het toepassen van bestuursdwang (art. 65 e.v.)


57

bijlagen Organigram 2007

College

Directeur

Bedrijfsbureau

Informatiebeheer

Beleid

Controller

Onderzoek

58

Bedrijfsleven

Jaarverslag 2007 > bijlagen

Communicatie

Frontoffice

Internationaal

Overheid

Juridische Zaken

Zorg & inkomen

Pers & Website

Wetgevingsadviezen

Concept Handelsregisterbesluit 200.

Wijziging Besluit DNA-onderzoek in strafzaken

14 november 2007, z2007-01249

7 mei 2007, z2007-00474

Verkenning DNA-onderzoek in strafzaken vanuit wet

DBC-gegevensverkeer van zorgverleners naar ver

gevings- en juridisch perspectief

zekeraars

11 oktober 2007, z2007-00914

25 april 2007, z2006-00828

Wetsvoorstel Reisverbod als bijkomende straf

Wijziging Paspoortwet i.v.m. herinrichting Centrale reis-

10 september 2007, z2007-00484

documentenadministratie 30 maart 2007, z2007-00010

Aanpassing modelreglement informantenregister 16 juli 2007, z2007-00295

Wijziging Wet werk en bijstand 1 maart 2007, z2007-00016

Besluit elektronisch rolberichtenverkeer 12 juli 2007, z2007-00892

Wetsvoorstel Politiegegevens 22 februari 2007, z2007-00203

Publieke bemoeienis met particuliere beveiliging en recherche

Regeling afsluiten elektriciteit en gas van kleinverbruikers

10 juli 2007, z2007-00768

12 februari 2007, z2007-00042

Conceptbesluit Gegevens scheepvaart 2007

Wet OM-afdoening

14 juni 2007, z2007-00740

1 februari 2007, z2007-00125

Wijziging Wet gebruik burgerservicenummer in de zorg

Wijziging Vreemdelingenbesluit 2000

14 juni 2007, Z2007-00577

29 januari 2007, z2007-00184

Concept wetsvoorstel Publieke Gezondheid

Wetsvoorstel Implementatie Europese richtlijn data

7 juni 2007, z2006-00781

retentie 22 januari 2007 , z2006-01542

Tijdelijke regeling Wet marktordening gezondheidszorg (WMG)

Wetvoorstel algemene bepalingen burgerservicenummer

6 juni 2007, z2007-01238

11 januari 2007, z2007-00082

Wet Identiteitsvaststelling verdachten en veroordeelden

Wetsvoorstel aanwijzingen ernstige overlast

31 mei 2007, z2007-00473

11 januari 2007, z2006-01438

Wijziging van de Wet maatschappelijke ondersteuning en Wet werk en bijstand 30 mei 2007, z2007-00639 Wijziging boek 2 Burgerlijk Wetboek, de Wet documentatie

Dit overzicht bevat de voornaamste wetgevingsadviezen van 2007. Vrijwel alle adviezen vanaf 1996 kunt u raadplegen op de website www. cbpweb.nl. Adviezen uit de periode 1991-1996 zijn ook opgenomen in de bundel Persoonsgegevens beschermd, van WPR naar WBP. Den Haag, Sdu uitgevers, 1999.

vennootschappen en de Handelsregisterwet 1996 30 mei 2007, z2007-00566 Wet algemene bepalingen omgevingsrecht (Wabo) en Besluit Omgevingsrecht (Bor) 15 mei 2007, z2007-00304 Jaarverslag 2007 > bijlagen

59

bijlagen Modelreglementen vastgesteld voor politieregisters

Aandachtsvestigingen (Stcrt. 2002, 243) Arrestanten (Stcrt. 2002, 243) Arrestatiebevelen (Stcrt. 2002, 243) Bedrijfsprocessensysteem BPS (Stcrt. 2002, 243) Bedrijven informatiesysteem en waarschuwingsadressen (Stcrt. 2002, 243) Bekeuringenafhandelingssysteem (Stcrt. 2002, 243) Beperkingen besturen motorrijtuigen (Stcrt. 2002, 243) Bureau financiële ondersteuning (Stcrt. 2002, 243) Cameratoezicht voor het tijdelijk register cameratoezicht (Stcrt. 2006,140) Fraudebestrijding (Stcrt. 2002, 243) Gegevensuitwisseling milieucriminaliteit (Stcrt. 2002, 243) Gevonden en verloren goederen (Stcrt. 2002, 243) Graffitibestrijding (Stcrt. 2002, 243) Herkenningsdienstregister (Stcrt. 2004, 124) In beslag genomen goederen (Stcrt. 2002, 243) In bewaring genomen goederen (Stcrt. 2002, 243) Inbraakbestrijding (Stcrt. 2002, 243) Informantenregister (Stcrt. 2002, 100) Informantenregister openbare orde (Stcrt. 2002, 238) Internationale rechtshulp politie (Stcrt. 2002, 243) Jeugd- en zedenzaken (Stcrt. 2002, 243) Kabinetszaken (Stcrt. 2002, 243) Meldkamer (Stcrt. 2002, 243) Milieudelicten (Stcrt. 2002, 243) Multipol (Stcrt. 2002, 243) Openbare orde informatie (Stcrt. 2002, 238) Opkopers en helingbestrijding (Stcrt. 2002, 243) Overvallenbestrijding (Stcrt. 2002, 243) Permanent autoteam (Stcrt. 2002, 243) Processen-verbaal en rapporten (Stcrt. 2002, 243) Recidive (Stcrt. 2002, 243) Rijverboden (Stcrt. 2002, 243) Schietwapen incidentenregistratie- en informatiesysteem (Stcrt. 2002, 243) Signalen van mensenhandel (Stcrt. 2002, 13) Technische recherchezaken (Stcrt. 2002, 243) Tijdelijk Register (Stcrt. 2002, 131) Vakantiecontrolekaarten (Stcrt. 2002, 243) Vandalismebestrijding (Stcrt. 2002, 243) Verdovende middelen (Stcrt. 2002, 243)

60


Voorlopig register (Stcrt. 2000, 198) Zware criminaliteit (Stcrt. 2000, 198)

De politie werkt voor het uitoefenen van de politietaak (artikel 1 en artikel 2 Politiewet) met politieregisters. In artikel 12, eerste lid Wet poli tieregisters is de mogelijkheid gecreëerd om een modelreglement voor een register vast te stellen, onder andere ter bevordering van eenduidig heid en een efficiënte werkwijze. Degene die een modelreglement heeft vastgesteld, kan het CBP verzoeken te verklaren dat het model naar zijn oordeel in overeenstemming is met de Wet politieregisters. Beheerders van een register hoeven dan het CBP alleen te informeren over het bestaan van een register en van het model dat daarop van toepassing is. Mochten er afwijkingen van het model zijn, dan moet vermeld worden welke dat zijn. De modelreglementen zijn beschikbaar op de website van het CBP: www.cbpweb.nl.

Gedragscodes

Er zijn geen gedragscodes goedgekeurd in 2007. Alle gedragscodes zijn te vinden op www.cbpweb.nl

Documenten in 2007 uitgebracht door de Werkgroep inzake de bescherming van persoonsgegevens (artikel 29 van Richtlijn 95/46/EG) 5 december 2007 - Joint opinion on the proposal for a

1 maart 2007 – Opinion 3/2007 on the Proposal for a

Council Framework Decision on the use of Passenger

Regulation of the European Parliament and of the Council

Name Record (PNR) for law enforcement purposes,

amending the Common Consular Instructions on visas for

presented by the Commission on 6 November 2007

diplomatic missions and consular posts in relation to the

(WP 145)

introduction of biometrics, including provisions on the organisation of the reception and processing of visa

5 december 2007 – 2nd Data Protection Day (WP 144)

applications (COM(2006)269 final (WP 134)

23 november 2007 – 8th Directive on Statutory Audits, Opinion 10/2007 by the Article 29 Working Party (WP 143)

10 januari 2007 – Recommendation 1/2007 on the Standard Application for Approval of Binding Corporate Rules for the Transfer of Personal Data (WP 133)

9 oktober 2007 – Opinion 9/2007 on the level of protection of personal data in the Faroe Islands (WP 142)

15 februari 2007 – Opinion 2/2007 on information to passengers about transfer of PNR data to US authorities.

9 oktober 2007 - Opinion 8/2007 on the level of

Annex: Short notice for travel between the European

protection of personal data in Jersey (WP 141)

Union and the United States (WP 132)

20 september 2007 - Opinion 7/2007 on data protection

15 februari 2007 – Working Document on the processing

issues related to the Internal Market Information System

of personal data relating to health in electronic health

(IMI) (WP 140)

records (EHR) (WP 131)

20 september 2007 – Opinion 6/2007 on data protection

24 januari 2007 – 1st European Data Protection Day (WP 130)

issues related to the Consumer Protection Cooperation System (CPCS) (WP 139)

9 januari 2007 – Opinion 1/2007 on the Green Paper on 17 augustus 2007 – Opinion 5/2007 on the follow-up

Detection Technologies in the Work of Law Enforcement,

agreement between the European Union and the United

Customs and other Security Authorities (WP 129)

States of America on the processing and transfer of passenger name record (PNR) data by air carriers to the United States Department of Homeland Security

Deze documenten zijn te vinden op http://ec.europa.eu/justice_home/ fsj/privacy/workinggroup/wpdocs/2007_en.htm

concluded in July 2007 (WP 138)

20 juni 2007 – Report 1/2007 on the first joint enforcement action: evaluation and future steps (WP 137)

20 juni 2007 – Opinion 4/2007 on the concept of personal data (WP 136) 15 februari 2007 – Revised and Updated Policy to promote the transparency of the activities of the Working Party established by Article 29 of Directive 95/46/EC (WP 135)


61

bijlagen Onderzoeksrapporten 2007

• KPN informeert abonnees met geheim nummer onvoldoende over direct marketing. Onderzoek naar beleid

• Samen onder één dak. Een gezamenlijk onderzoek van CBP en IWI naar het gebruik van persoonsgegevens in zes lokale samenwerkingsverbanden, 14 december

2007 • Zwarte lijsten detailhandel. De werking van drie Incidentenregisters en het Waarschuwingsregister van de Stichting Fraude Aanpak Detailhandel, juli 2007

• De vernietiging van geheimhoudersgesprekken. Een onderzoek naar de naleving van artikel 126aa lid 2 Sv door de tapkamers in Epe en Driebergen, oktober 2007

2006-2001 • Naleving van de informatieplicht door de sociale recherche, november 2006 • Particuliere recherche en bescherming van persoons gegevens, mei 2006. • Naleving van de informatieplicht door particuliere recherchebureaus, mei 2006. • Zorgverzekeraars, gezondheidsgegevens en privacy, mei 2006. • Bekendheid en beleving informatieplicht onder burgers. Kwantitatief onderzoek onder burgers, mei 2006. • De naleving en beleving van de informatieplicht onder organisaties in Nederland. Onderzoek onder huisartsen, onderwijsinstellingen en woningcorporaties, mei 2006.

• Uitwisseling van politiegegevens tussen de Nederlandse Antillen en Nederland, april 2006. • Reïntegratie van zieke werknemers en privacy: verkennend onderzoek bij drie reïntegratiebedrijven,

december 2005. • Reïntegratie van bijstandsgerechtigden en privacy: verkennend onderzoek bij drie reïntegratiebedrijven,

december 2005. • Landelijke zorgregistraties (verslag van oriënterend feitenonderzoek bij vijf grote landelijke registraties in de zorg), maart 2005.

• Algemene bevindingen, naar aanleiding van de onderzoeken door het CBP naar de bijzondere politieregisters van criminele inlichtingen eenheden in 2003/2004,

september 2004. • Cameratoezicht in de openbare ruimte: Onderzoek naar de inzet van cameratoezicht in alle Nederlandse gemeenten, november 2003.

62


omtrent ‘geheime’ nummers; bevindingen, augustus

2003. • Onderzoek naar de waarborging van de vertrouwelijke communicatie van advocaten bij de interceptie van telecommunicatie, juli 2003.

• Onrechtmatig, onbehoorlijk en onzorgvuldig. De verwerking van persoonsgegevens door een handelsinformatiebureau voor rapportage van verhaalsinformatie,

april 2003. • Sociale diensten: bijstandsdossier en privacy, februari 2002. • Privacy bij wetenschappelijk onderzoek en statistiek. Kader voor een gedragscode, mei 2002. • Elektronische overheid en privacy, december 2001. • Onrechtmatige handelswijze van een handelsinfor matiebureau, mei 2001. Rapporten kunt u doorgaans raadplegen op de website: www.cbpweb. nl (onder publicaties).

Achtergrondstudies en verkenningen 1994 – 2007

In de serie Achtergrondstudies en verkenningen zijn verschenen:

mr. drs. J.H.J. Terstegge, Goed werken in netwerken. Regels voor controle op e-mail- en internetgebruik van werknemers. A&V 21; tweede druk, herzien door drs.

drs. R.R.A. Beugelsdijk, RFID, veelbelovend of onverantwoord? Een bijdrage aan de maatschappelijke discussie

S. Lieon, College bescherming persoonsgegevens, Den Haag 2002

over RFID. A&V 29, College bescherming persoonsgege

vens, Den Haag, 2006

dr. R. Buitenhuis, drs. N.G.M. van Campen, drs. W.J. van Helden en dr. H.H. de Vries , Bankverzekeraars en

mr. A.H.C.M. Smeets, Camera's in het publieke domein.

privacy - Gegevensverwerking in financiële conglomera-

Privacynormen voor het cameratoezicht op de openbare

ten. A&V 20; Registratiekamer, Den Haag 2000

orde. A&V 28, College bescherming persoonsgegevens,

Den Haag, 2004 drs. S. Lieon, mr. M. Th. van Munster-Frederiks, De

drs. W.J. van Helden, Herkomst van de klant. Privacyregels voor etnomarketing. A&V 19, Registratiekamer, Den Haag 2000

zieke werknemer en privacy. Regels voor de verwerking van persoonsgegevens van zieke werknemers. A&V 27;

tweede, geheel gewijzigde druk, herzien door mr. S. van de Velde en mr. drs. A.G.I. Terhorst, College bescherming persoonsgegevens, Den Haag 2008 mr. drs. T.F.M. Hooghiemstra, Privacy bij ICT in de zorg. Bescherming van persoonsgegevens in de informatie-

mr. R.W.A. Wishaw MS, De gewaardeerde klant. Privacy regels voor credit scoring. A&V 18; Registratiekamer, Den Haag 2000 mr. M.J.T. Artz en mr. M.M.M. van Eijk, Klant in het web. Privacy waarborgen voor internettoegang. A&V 17; Registratiekamer, Den Haag 2000

infrastructuur voor de gezondheidszorg. A&V 26; College

bescherming persoonsgegevens, Den Haag 2002

mr. J. de Zeeuw, Informatieverstrekking door de fiscus, ontheffing van de geheimhoudingsplicht in het licht van

dr. J.A.G. Vermissen, mr. drs. A.C.M. de Heij,

privacywetgeving. A&V 16; Registratiekamer, Den Haag

Elektronische overheid en privacy. Bescherming van per-

1999

soonsgegevens in de informatie-infrastructuur van de overheid. A&V 25; College bescherming persoonsgege

mr. M.M.M. van Eijk, drs. W.J. van Helden, Klant te koop. Privacyregels voor adressenhandel. A&V 24; Registratiekamer, Den Haag 2001

dr. R. Hes, mr. drs. T.F.M. Hooghiemstra, drs. J.J. Borking, At face value - on biometrical identification and privacy. A&V 15; Registratiekamer, Den Haag 1999. With contributions from: P.J.A. Verhaar, T.G.A. van Rhee and H.A.M. Luiijf (TNO Physics and Electronics Laboratory - The Hague).

G.W. van Blarkom RE en drs. J.J. Borking, Beveiliging van persoonsgegevens. A&V 23; Registratiekamer, Den Haag 2001

mr. M.J.T. Artz, Koning Klant. Het gebruik van klantgegevens voor marketingdoeleinden. A&V 14; Registratiekamer, Den Haag 1999

dr. J.A.G. Versmissen, Sleutels van vertrouwen. TTP's, digitale certificaten en privacy. A&V 22; Registratiekamer, Den Haag 2001

drs. J.J. Borking, mr. B.M.A. van Eck en P. Siepel, Intelligent Software Agents and Privacy. A&V 13; Registratiekamer, Den Haag 1999

vens, Den Haag 2002

mr. drs. T.F.M. Hooghiemstra, Privacy & managed care. A&V 12; Registratiekamer, Den Haag 1998


63

bijlagen dr. R. Hes en drs. J.J. Borking, Privacy Enhancing Technologies: the path to anonimity. Revised edition. A&V 11; Registratiekamer, Den Haag 1998

Richtsnoeren 2007

Publicatie van persoonsgegevens op internet, december

drs. J.J. Borking, mr. M.J.T. Artz en mr. L. van Almelo,

2007

Gouden bergen van gegevens. Over datawarehousing, datamining en privacy. A&V 10; Registratiekamer, Den

Publication of personal data on the Internet, December

Haag 1998

2007

mr. C.G. Zandee, Doelbewust volgen. Privacy-apecten van cliëntvolgsystemen en andere vormen van gegevensuitwisseling. A&V 9; Registratiekamer, Den Haag 1998

Brochures

mr. J. de Zeeuw, Informatiegaring door de fiscus Privacybescherming bij derdenonderzoeken. A&V 8; Registratiekamer, Den Haag 1998

Tien Gouden Regels voor verwerking van persoons gegevens door de sociale dienst, januari 2007 Functionaris voor de gegevensbescherming. Een hand

mr. dr. P.C. Ippel, Gegeven: de genen. Morele en juridi-

reiking herziene versie, januari 2007

sche aspecten van het gebruik van genetische gegevens.

A&V 7; Registratiekamer, Den Haag 1996

Gedragscodes. Bescherming van persoonsgegevens door zelfregulering, oktober 2002

mr. H.J.M. Gardeniers, Chipcards en Privacy. Regels voor een nieuw kaartspel. A&V 6; Registratiekamer, Den Haag 1995

Third countries. Transfers of Personal Data to Countries outside the European Union, september 2002

ing. H. van Rossum, Privacy-enhancing technologies: the path to anonymity, volume I and II. A&V 5; Registratiekamer, Den Haag 1995. In 1998 verscheen een vernieuwde versie van deze studie, A&V 11.

Derde landen. De doorgifte van persoonsgegevens naar

mr. drs. A.F. Rommelse, Zwarte lijsten. Belangen en effecten van waarschuwingssystemen. A&V 4; Registratiekamer, Rijswijk 1995

Wet bescherming persoonsgegevens. Over de bescher-

landen buiten de Europese Unie, september 2002 Privacy: checklist voor de ondernemingsraad, april 2002

ming van uw persoonlijke gegevens, augustus 2001 Mag het een bitje minder zijn? Over Privacy Enhancing

mr. drs. A.F. Rommelse, Ziekteverzuim en privacy.

Technologie, april 2001

Controle door de werkgever en verplichtingen van de werknemer. A&V 3, Registratiekamer, Rijswijk 1995

Doe het zelf met privacy. Een toelichting op de Audit Aanpak, 2001

drs. J.P.M. van Casteren, Bevolkingsgegevens: wie mag ze hebben? Verstrekking van gegevens uit de GBA aan vrije derden. A&V 2; Registratiekamer, Rijswijk 1995

mr. B.J.P. Hulsman en mr. dr. P.C. Ippel, Personeelsinformatiesystemen - de Wet Persoonsregistraties toe gepast. A&V 1, Registratiekamer, Rijswijk 1994

64


Informatiebladen Laatste geactualiseerde versies Informatiebladen voor de betrokkene:

Informatiebladen voor de verantwoordelijke:

Als de politie gegevens over u vraagt, december 2006

Als de politie u vraagt persoonsgegevens te verstrekken,

Als u gefilmd wordt met een videocamera, februari 2005

december 2006

Bemiddeling door het CBP inzake uw gegevens, decem ber 2006 Bewaartermijnen van uw persoonsgegevens, november 2007 Camera's op de werkplek, oktober 2007 Correctie van uw persoongegevens, december 2006 De GBA en uw persoonsgegevens, december 2006 Doorgifte van uw gegevens naar derde landen, juni 2004 Functionaris voor de gegevensbescherming, juni 2004 Gebruik van kentekengegevens en uw privacy, april 2005 Geheimhouding van uw medische gegevens, juni 2005 Inzage in uw persoonsgegevens, februari 2007 Nummeridentificatie bij telefoonverkeer, maart 2007 Omgang met uw medische gegevens, december 2006 Opnemen van uw telefoongesprekken op de werkplek, juni 2004 Rechten van de betrokkene, februari 2007 Sociale dienst en uw persoonsgegevens, maart 2007 Tegengaan ongevraagde reclame, oktober 2007 Toetsen van uw kredietwaardigheid (creditscoring), december 2006 Uw gegevens bij de politie, oktober 2004 Uw gegevens op een zwarte lijst, november 2006 Uw klacht en het CBP, maart 2007 Uw personeelsdossier, oktober 2007 Uw persoonsgegevens beveiligd, september 2003 Uw rechten als patiënt, juni 2005 Uw recht op informatie, februari 2007 Verstrekken van uw gegevens uit ledenadministratie, maart 2004 Verstrekken van uw personeelsgegevens, september 2004 Verstrekken van uw persoonsgegevens, december 2006

Als u mensen filmt, februari 2005 Bemiddeling door het CBP inzake uw verwerkingen,

december 2006 Bewaartermijnen van persoonsgegevens in uw bestanden,

oktober 2007 Bieden van correctie in persoongegevens, december 2006 Camera's op de werkplek, oktober 2007 De GBA en het gebruik daarvan, februari 2006 Doorgifte naar derde landen inzake uw gegevensverwerkingen, november 2004 Functionaris voor de gegevensbescherming, juni 2004 Gebruik van klantgegevens bij direct marketing, oktober

2007 Geheimhouding van medische gegevens, juni 2005 Geven van inzage in persoongegevens, februari 2007 Informatie delen in samenwerkingsverbanden, oktober

2007 Informatieplicht, februari 2007 Klachtenbehandeling door het CBP, december 2006 Melden en vrijstellingen, april 2004 Opnemen telefoongesprekken op de werkplek, juni 2004 Personeelsdossiers, november 2007 Rechten van de betrokkene, februari 2007 Rechten van uw patiënt, december 2006 Uw omgang met medische gegevens, december 2006 Verstrekken van gegevens uit uw ledenadministratie,

maart 2004 Verstrekken van personeelsgegevens aan derden,

september 2004 Verstrekken van persoonsgegevens, december 2006 Voorafgaand onderzoek, november 2007 Vrijwillig meewerken door telecommunicatieaanbieders met politie en justitie, februari 2007 Zwarte lijsten, juni 2004 Publicaties van het CBP kunt u inzien en/of downloaden van de web sites www.cbpweb.nl en www.mijnprivacy.nl. Voor het toezenden van gedrukte publicaties kunnen administratie- en verzendkosten in reke ning worden gebracht.


65

bijlagen Publicaties en presentaties in 2007 Een selectie Tweesporenbeleid op weg naar een betere bescherming

Privacy and public safety, a European perspective., tekst

van persoonsgegevens., Madeleine McLaggan-van Roon

Privacy onder vuur. Bespied van alle kanten, Jacob

van de speech van Jacob Kohnstamm tijdens de 29e Internationale Conferentie van Toezichthouders op de bescherming van persoonsgegevens in Montréal, 26 september 2007

Kohnstamm en Lynsey Dubbeld (Het Goede Leven, 21 december 2007)

Je moet de ander altijd wantrouwen. Jacob Kohnstamm

(Informatiebeveiliging, december 2007)

(Balie Bulletin, september 2007) Tieners en Privacy in online sociale netwerken. Debat op

Social Networking Event, 27 november 2007

Nederland Controlestaat. Jakob Kohnstamm,

Strategie, BCR’s, Employee Monitoring en Internet.

Lynsey Dubbeld en Hanneke Schmeets (Trouw, 30 juni 2007)

Presentatie door Madeleine McLaggan en drie beleids medewerkers voor het EPON (European privacy officers network) in Den Haag, 14 november 2007

Studiedag van de Koninklijke Vereniging van

Studiedag Landelijke Klachtencommissies onderwijs.

Herorientatie privacybeleid van de gemeente. Deelname

Lezing door Jannette Beuving in Den Haag, 7 november 2007

door Jacob Kohnstamm aan debat op het stadhuis van Amsterdam, 25 mei 2007

Veiligheid en Privacy. Speech van Jacob Kohnstamm

Is privacy de schuilplaats voor de kindermishandelaar?

tijdens het congres Veiligheid en Privacy in Den Haag, 1 november 2007

Debat tijdens expertbijeenkomst georganiseerd door CBP en Inspectie Jeugdzorg te Utrecht, 23 april 2007

Veiligheid en Privacy. Een zoektocht naar een nieuwe

Cursus Informaticarecht aan de Grotius Academie.

balans. E.R. Muller, H.R.B.M. Kummeling en R.P. Bron

Jannete Beuving te Utrecht, 5 april 2007.

Archivarissen. Lezing in Arnhem, 30 mei 2007

(Boom Juridische uitgevers, november 2007) Privacy op de werkplek. Inleiding voor de Privacy van patiënt moet beter worden beschermd.

Jannette Beuving (Arts & Auto 16 – 2007, oktober 2007, pag. 24)

Postacademische leergang Arbeidsrecht van de VU te Amsterdam, 1 februari 2007 Privacygedragscode loopt af. Madeleine McLaggan

De glazen samenleving in zicht. Lynsey Dubbeld en Jacob

(InFinance nr. 18 – 2007, pag. 19)

Kohnstamm, (NJB 2007 / 37 van 19 oktober 2007, pag. 2369)

Het BSN in de zorg; de zwakke plekken. Victoire Lucieer

(Tijdschrift voor Gezondheidsrecht 2007 nr.1) Het CBP en de Wbp. Presentatie bij het Verbond van

Verzekeraars in Den Haag, 8 oktober 2007 Interview met Madeleine McLaggan (Connecties nr. 3,

oktober 2007) Landelijke registraties. Jaqueline Krabben (Handboek

privacy in de gezondheidszorg, aanvulling 64, oktober 2007)

66



67

Convenience… It’s true, why do things the hard way? A world without GSM, the Internet, bankcards and credit cards is barely possible to imagine any more. Today, literally anything can be researched, ordered and paid for completely independent of time or place. This saves time and opens up whole worlds that were previously reserved for just the lucky few.

68

Jaarverslag 2007 > preface

preface However, this technological development, which is beneficial in many respects, also creates an almost diabolical dilemma: in exchange for convenience, we all unavoidably leave digital footprints of all our movements, often without being aware of this at all. Because, technically, all these footprints are or can be saved and combined endlessly, we are now living in an open society in which even precious and vulnerable events from our private lives are or can be used, misused and disclosed. If this information is also used in situations in which there is some inequality of power – such as between the government and citizens or the business sector and consumers, but also between stronger and weaker citizens – this can have major consequences. This is not an imaginary danger, but rather an underestimated one. Identity fraud (already the biggest crime-related cost item in the US) is a clear example, as are discriminatory assessment and unequal treatment (sometimes also solely on statistical grounds) or the freezing of personal development opportunities and wishes. The ultimate consequence of this is undermining of trust in each other and in public and private institutions. Contrary to what is often alleged, the worth of the principle of privacy protection transcends the interest of the individual, the family or the community. Ultimately, this principle of protection relates to society as a whole, to the collective interest served by the actual respect given in practice to boundaries that the legislator has imposed to this end. These boundaries are, broadly speaking, as follows, do not collect data before you have established that it is necessary to do so; in principle, do not use the data collected for a purpose other than the purpose for which they were originally collected; and, in any case, always handle the data collected with all due care and respect. Of course, firstly and most importantly, the obligation to comply with these legal requirements lies directly with the parties that collect and process data. Added to this, a low-threshold access to the courts has been created for individual citizens, making it possible for them to stand up for themselves where they have sustained damage or loss as a result of the violation of statutory obligations. However, precisely because compliance with legislation involves a collective interest, which cannot be sufficiently safeguarded by individual private parties alone, the legislator has created an independent supervisory authority, the Dutch Data Protection Authority (Dutch DPA) [College bescherming persoonsgegevens (CBP)]. To this end, the Dutch DPA has been granted competences that include powers geared towards enforcement. Where necessary, we are able to enforce investigations into compliance with legislation and, where violations are established, can apply administrative coercion, including the imposition of the corresponding sanctions. One question that we - just as any organisation funded by the government - regularly have to ask ourselves is how we can perform the supervisory task allotted to us in a way that enables us to achieve the best possible result. In other words: how can we make an effective contribution to the prevention and combating of identity fraud, and the misuse and unlawful use of personal data? Since 1998, the Registratiekamer [the former Data Protection Authority] and the current Dutch DPA have answered this question by formulating four different programme aspects: promoting awareness, promoting the development of standards, keeping track of technological developments and taking enforcement action where appropriate. In the last year under review, we decided to change course and to shift our priority to what was previously the fourth aspect. Given the current state of privacy legislation, the Dutch DPA


69

will concentrate on carrying out investigations and enforcement actions – the core task of any independent supervisory authority – to ensure a more effective promotion of the awareness of standards, and a stronger, more efficient enforcement of the compliance with legislation. Of course, enforcement action must be preceded by clarity on the standards underlying our action. In order to be able to achieve this change in course geared towards standards, investigation and enforcement, and given the budget allocated to us, we will give priority, as regards requests for help and assistance, to serious violations of a structural nature and to violations which entail major consequences for a substantial number of citizens or for groups of citizens. However, we will do our utmost to help citizens and organisations that would previously have requested and received advice or help from us to gain an overview of the rights and obligations arising for them from the Wet bescherming persoonsgegevens (Wbp) [Dutch Data Protection Act] themselves, so that they themselves can take whatever action is necessary. To this end, we will invest further in the content of our two websites. The www.mijnprivacy.nl website, in particular, contains the information that individual citizens need in order to take action themselves in cases where their rights are being infringed. The www.cbpweb.nl website contains information that organisations and professionals can use if they have questions about the rights and obligations arising from legislation. In other words: as a supervisory authority, to exercise the maximum influence possible on compliance with the statutory provisions entrusted to our supervision, we started to intensify general information policy last year, putting citizens, professionals and organisations in a better position to be aware of and comply with (or ensure compliance with) their rights and obligations. We also started to give priority to the tasks falling upon an efficient and effective supervisory authority: investigating how compliance with the relevant statutory provisions is being observed and, when a violation is identified, taking enforcement action. The annual report before you will show that this change in course has been successful in the last year under review!

J. Kohnstamm chairman

70


summary

2007 summarised Compliance with the Wet bescherming persoonsgegevens (Wbp) [Dutch Data Protection Act] is not only in the interest of individual citizens. Respect for individual privacy also serves a collective interest: a society in which we can assume that our personal data will not be misused, making it possible to trust the government, companies, institutions and each other. In 2007, in order to make a stronger and more visible contribution to the protection of this collective interest, the Dutch Data Protection Authority (Dutch DPA) [College bescherming persoonsgegevens (CBP)] decided to place more emphasis on the use of supervisory investigations for the enforcement of statutory rules in its work. Priority is being given to dealing with serious violations of a structural nature, with an adverse impact on large groups of citizens. Through the enrichment and broadening of general information on the Dutch DPA website, citizens are encouraged and helped to resolve their problems themselves and also, where necessary, to take action themselves. Jaarverslag 2007 > summary

71

Large-scale data collection and processing was high on the agenda of the Dutch DPA in 2007, just as it has been in other years. At a European level, areas of concern included the collection of data on passengers flying from Europe to the United States and on passengers within the EU. At a national level, privacy problems in relation to the OV- chipkaart (digital transport pass) and the Elektronisch Patiëntendossier (electronic patient file) are salient issues. These and other subjects will be discussed briefly below in a selection from the activities undertaken in 2007.

International collaboration The Dutch DPA co-operates with other national data protection authorities at a European and international level. At a European level, the Netherlands plays an active role in the working group of EU data protection authorities, the so-called Article 29 Working Party (WP29). In 2007, the WP29 had serious discussions on the proposal by the European Commission, which followed the PNR agreement with the United States, to collect passenger data within the EU as well, with the object of combating international crime and terrorism. Jacob Kohnstamm, Chairman of the Dutch DPA, stated that this was contrary to Article 8 of the ECHR. News can also be reported in the field of financial data traffic. More in particular, this concerns SWIFT, the company that facilitates international transfers for banks. In 2007, reports in the media made it clear that SWIFT stores back-up data on account holders in the United States and that the authorities in the US can demand access to these data. Contrary to their obligation in this respect, banks had not informed their customers of this fact. Following the threat of enforcement by the Dutch DPA, banks in the Netherlands finally decided to inform their account holders of the transfer of their data. In a WP29 context, following coordinated action by all national data protection authorities, SWIFT indicated that it will open a data storage office in Switzerland in 2009, as such resolving the problem of the provision of data on intereuropean transfers to the US. In terms of police and the judicial authorities, the European supervisory authorities point to the ongoing need for a high level of protection for personal data exchanges for investigation purposes. The Dutch DPA regularly takes part in the joint supervisory data protection authority activities at a European Union level, in relation to collaboration between the police and judicial authorities.

National collaboration Co-operation with other supervisory authorities and organisations involved in data processing leads to more efficient supervision of compliance with the statutory rules that protect personal data, and also contributes to the broadening of support for privacy protection. In April 2007, the Dutch DPA worked with the Inspectie jeugdzorg [Youth Care Inspectorate] to organise a round table conference on the obstacles that privacy legislation would create for the exchange of data by welfare agencies in the battle against child abuse. It was found that there were not actually any obstacles. This shared view on the part of representatives of a large

72

Jaarverslag 2007 > summary

summary number of professional parties involved in the field of youth care was communicated to the Minister for Youth and Family, linked to proposals for the exchange of data that can make a fundamental contribution to efforts to combat child abuse. As regards the processing of personal data in the healthcare sector, delineation agreements were made with the Nederlandse Zorgautoriteit [Dutch Care Authority] and an investigation was conducted into the protection of patient data together with the Inspectie voor de Gezondheidszorg [Healthcare Inspectorate]. Other joint projects in 2007 involved the retention obligation for traffic data, the use of the burgerservicenummer (BSN) [citizens service number] by the business sector and the joint use of personal data by the Centrum voor Werk en Inkomen (CWI) [Centre for Work and Income], the UWV [a body implementing employee insurance schemes] and municipalities. In 2007, the network of functionarissen voor de gegevensbescherming (FGs) (data protection officers), the independent internal regulator for companies and organisations, was further expanded. The Dutch DPA has an annual meeting with the professional organisation for FGs. In the process initiated in 2006 by the Dutch Parliament, the object of which is to create a National Institute of Human Rights: in April 2007, the four organisations that would participate in this institute published a memorandum on how the organisation could be launched. The Minister of the Interior and Kingdom Relations has not decided on this proposal yet.

Public administration The BSN [citizens service number] was introduced at the end of November 2007. This marks the start of a new phase for the Dutch DPA. At the BSN management facility, a personal public service point will be created, which local authorities and citizens can approach with any questions they may have. As the authority responsible for supervision of the careful handling of personal data, the Dutch DPA is the authority with competence to intervene in the event of real problems with implementation of the Act. The Gemeentelijke Basisadministratie (GBA) [municipal personal records database] contains the personal data of all individuals registered in a specific municipality. This administration forms the basis for the implementation of many government tasks. It is very important that data are correct and that they are protected properly. The municipalities are obliged to perform audits once every three years. Following the announcement by the Dutch DPA that it would take enforcement action where municipalities failed to fulfil their audit obligation, or failed to do so on time, an improvement in municipality compliance with the statutory obligation applicable was observed in 2007 in comparison with previous years. Last year, the Dutch DPA imposed an order for periodic penalty payments on four municipalities. At the end of 2007, at the request of the Senate, the Dutch DPA issued advice on a legislative proposal that would extend the powers that the intelligence and security services, in their efforts to combat terrorism, have in obtaining data on travelling, payment traffic and Internet use by citizens. The Dutch DPA believes that the need for these measures in addition to the many measures already in existence has not been demonstrated and considers that the consequences of this data analysis for individual citizens, but also for responsible parties and the services involved, have not (or not sufficiently) been recognised.


73

The Dutch DPA also expressed its criticism of the proposal for a verwijsindex risicojongeren (VIR) (national reference index of young people at risk). The Dutch DPA agrees wholeheartedly with efforts to achieve better and faster help for children and young people with problems, but it is not yet clear whether the sole objective of the reference index is the provision of assistance, or whether its aim is also to help maintain public order. Complete clarity about key terms and criteria is necessary.

Police and the judicial authorities Safety and privacy are both vital for citizens. However, all too often in public debate, these values are, rather simplistically, construed as opposing values. To help put the discussion back on course, the Dutch DPA, in collaboration with the Ministry of Justice and the Ministry of the Interior and Kingdom Relations, commissioned research into the identification of the most appropriate balance between the efforts to achieve a safe society and the efforts to safeguard the right to privacy. The resulting external research report, with guidelines for more effective dialogue, was presented at a symposium on 1 November 2007. In situations where the police tap telephone calls in the context of criminal investigations, conversations between lawyers and their clients are often recorded too. These conversations with holders of confidential information entitled to privilege must be erased as soon as possible. A Dutch DPA investigation of the national wiretapping rooms shows that this does not happen correctly or on time in far from all cases. The Public Prosecution Service has announced that measures for the improvement of this situation will be implemented. In recommendations on proposed new legislation, or other regulations in the field of criminal law, the Dutch DPA regularly raises the following question: has it been demonstrated that the regulations in question are really necessary? Is it clear that existing or previously proposed statutory possibilities fall short? For example, in the opinion of the Dutch DPA, in the light of improved identification possibilities in the future, the Minister of Justice has provided insufficient justification for the proposal for a central database for the storage of the identity of all suspects and convicted offenders. And do the plans by the police, the Public Prosecutions Department and the Koninklijke Marechaussee (KMar) [Royal Netherlands Military Constabulary] to record the registration number of all motorists entering Amsterdam via the Utrechtse brug, regardless of whether they have a clean record or not, really contribute to a safer society?

Work and social security Citizens do not automatically become suspects simply because they receive benefit or housing benefit. In the 'Waterproof' project, old-age pensioners and recipients of a social assistance benefit in 65 municipalities in Friesland, Groningen and Drenthe were checked for fraud based on data on their water consumption and the water contamination surcharge. The data obtained were also used to check fraud with housing benefit. The Dutch DPA investigated this linking of computer files and ruled it unlawful. It is important to combat benefit fraud, but monitoring based on the linking of computer files is only permitted on the basis of sound risk analysis, since this makes it possible to show that it is necessary to further monitor a group of citizens at a high risk of entering the fraud zone. As a result of the Dutch DPA ruling, the Sociale

74


summary Inlichtingen- en Opsporingsdienst (SIOD) [Social Security and Investigation Service] is now working on the development of risk analyses using Privacy Enhancing Technology (PET). In this way combating fraud and the protection of personal data seem to be able to go hand in hand. Another way of uncovering benefit fraud is covert observation by social security investigators. The processing method used for the personal data connected with these activities has been laid down in a process description approved by the Dutch DPA. Research in 2006 showed that compliance with the obligation to inform citizens of the fact that they had been observed left something to be desired. The process description was then tightened up in 2007. In the event of a transition to a occupational health and safety service provider, can the former service provider transfer employees’ records to the new service provider without this being provided for by law? The Dutch DPA ruled ‘no’ in 2006. Further to indications from the field that this view caused problems, the Dutch DPA did research in 2007 to ascertain whether a different approach is possible within the existing statutory frameworks. This led to an outcome whereby transfers were made subject to a distinction between data that are not subject to medical professional secrecy and data that are. In the first case, the data may be transferred. In the second case, data may only be transferred under certain conditions. The Dutch DPA also examined the standard provision of data by the UWV to all current employers on the occupational disability history of a new employee, as a result of which the UWV will now only do this where the employer in question has a specific, direct and vested interest in doing so.

Healthcare The Dutch DPA issued a critical advice on a draft legislative proposal that provides for the introduction of an electronic patient file. In the opinion of the Dutch DPA, making patient files available to all care providers is far too risky, partly with a view to the protection required for particularly sensitive personal data. With the exception of emergency situations, only care providers with a treatment relationship with a patient ought to have access to the record in question. If this is not the case, there is a risk that unauthorised parties will misuse or misappropriate the medical data. In 2007, the Dutch DPA also issued a negative advice on making the elektronisch kinddossier jeugdgezondheidzorg (electronic child record for the youth healthcare sector) compulsory in the legislative proposal that relates to youth healthcare and infectious diseases. The need for the central electronic storage of data had not been substantiated sufficiently. The Cabinet has since said that it is no longer seeking to create a central electronic child record and that it is looking for other ways to exchange communications in the youth healthcare sector. The Dutch DPA has made agreements with the Minister for Health, Welfare and Sport on the application of Privacy Enhancing Technologies when using data in the DBC information system and for the purpose of risk equalisation in the context of the Zorgverzekeringswet (Zvw) [Health Care Insurance Act].


75

Trade and services Following the announcement by the Dutch DPA that it would take enforcement action against the unlawful combined storage of the name and address details of travellers and their travel data, the public transport companies would seem to have finally recognised that the OVchipkaart has side effects that are contrary to the Wbp. In 2007, in a pilot on the Amsterdam metro network, research was done into the impact of the card, which ended with the conclusion that the OV-chipkaart system is being used unlawfully. The Gemeentevervoerbedrijf (GVB) [Municipal Transport Authority] and other public transport companies have now undertaken to bring practice in line with the Wbp. In the technical design for data storage, a distinction will be made between name and address details on the one hand and travel movements on the other hand. As a result, the risk of the unlawful monitoring of individual people’s travel behaviour will be limited considerably. In 2004, the Stichting Fraude Aanpak Detailhandel (FAD) created an alert system consisting of a central database – a black list – containing the personal data of all members of staff who have committed serious offences. Employers can consult this database before employing an applicant. The Dutch DPA approved this objective. In 2007, an investigation was conducted into the impact of this system. Amongst other things, this investigation showed – entirely contrary to the boundaries indicated by the FAD itself at the time – that not only individuals who had committed serious offences had been entered onto the database, but also many – often young – employees who were guilty of relatively minor offences. In many cases, these individuals had not been informed of their registration either. The Dutch DPA issued an announcement for enforcement action, in order to ensure that the alert system will be used in accordance with the information provided by FAD in 2004 and the protocol approved on this basis. Further actions by the Dutch DPA concerned a very wide range of different subjects: camera surveillance in changing rooms at swimming pools, the registration of hotel guests, the permanent screening of legal entities, compliance with the obligation to disclose information by private detective agencies and the provision of personal data to countries without a sufficient level of protection.

The Internet Personal data are published on the Internet in a large number of different ways and are generally accessible worldwide, 24 hours a day, for an extensive and diverse public. There can be unexpectedly serious consequences for Internet users – amongst whom are many children – whose personal data are on the web. In 2007, the Dutch DPA developed and published guidelines in order to clarify what is permitted and what is not when publishing personal data on the Internet. The individuals responsible can use these guidelines to assess whether publication of personal data on the Internet is permitted. A large amount of information material has also been published on the Dutch DPA site. As regards minors, the Dutch DPA takes a proactive stance in providing the rules applicable for social networks and for online marketing. The government also makes use of the Internet. In 2007, the Dutch DPA conducted an investigation into how the municipality of Nijmegen publishes data on planning permission. Complete scanned copies of application forms were published on the net, containing not only

76


summary data on the property in question and on the alterations proposed, but also personal data on the applicant, including his/her signature. In the opinion of the Dutch DPA, the municipality must only publish compulsory data on the Internet – on the property in question and the alterations proposed. The proper performance of a public-law task does not justify a situation where an administrative body automatically publishes all data on the Internet. The Dutch DPA will also publish guidelines on the privacy aspects of active public disclosure in the framework of the Wet openbaarheid van bestuur (Wob) [Government Information (Public Access) Act] in 2008.


77

COLOFON Jaarverslag 2007 © College bescherming persoonsgegevens, Den Haag, april 2008 Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens. Dit jaarverslag is tot stand gekomen met inbreng van vele CBP-medewerkers. Eindredactie: P.T.C. Hoefer-van Dongen Bijlagen en productie: M.Twiss-van Geelen Ontwerp en illustraties: Proforma, ontwerpers en adviseurs (Miriam Monster, Simphiwe Xinwa) Fotografie:

Mark Kohn

Vertaling:

Amstelveens Vertaalburo

Druk:

DeltaHage BV

ISBN:

978-90-74087-40-7

78

Jaarverslag 2007

Jaarverslag 2007

79

80

Jaarverslag 2007

Iedereen heeft recht op een zorgvuldige omgang met zijn of haar persoonsgegevens.

Het College bescherming persoonsgegevens (CBP) houdt – onder de Wet bescherming persoonsgegevens (Wbp) – toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Bij het CBP moet het gebruik van persoonsgegevens worden gemeld, tenzij hiervoor een vrijstelling geldt.

Het College bescherming persoonsgegevens houdt toe zicht op de naleving van de wettelijke regels die zien op de bescherming van persoonsgegevens, zo nodig met behulp van sancties.

Advies, bemiddeling, onderzoek en interventie Het CBP adviseert de regering en organisaties over de bescherming van persoonsgegevens en onderwerpen die daarmee samenhangen. Het CBP toetst gedragscodes en bemiddelt in geschillen tussen burgers en gebruikers van persoonsgegevens. Op eigen initiatief of op verzoek van een belanghebbende kan het CBP onderzoeken of de manier waarop persoonsgegevens in een bepaalde

Daarbij heeft het CBP oog voor de maatschappelijke context van de aan hem voorgelegde vragen, problemen of klachten. Bij het uitvoeren en verantwoorden van zijn werkzaamheden streeft het naar een open dialoog met de samenleving en naar samenwerking met andere maatschappelijke organisaties.

situatie zijn gebruikt, in overeenstemming is met de wet en daaraan zonodig gevolgen verbinden. Voor in gebreke blijven bij de melding kan een boete worden opgelegd. Bij overtreding van de wet of daarop gebaseerde regelingen kan het CBP overgaan tot bestuursdwang of een dwangsom opleggen.

Over zijn werkzaamheden en bevindingen brengt het CBP jaarlijks een openbaar verslag uit. Het CBP is bij de uitvoering van zijn bevoegd heden gehouden aan de normen die worden gesteld in de Algemene wet bestuursrecht. Beslissingen van het CBP zijn vatbaar voor bezwaar en beroep. Het gedrag van het CBP kan onderzocht worden door de Nationale Ombudsman. Voor meer informatie kunt u kijken op de websites: www.cbpweb.nl of www.mijnprivacy.nl

Jaarverslag 2001 - in vogelvlucht

College bescherming persoonsgegevens - Jaarverslag 2007

college bescherming persoonsgegevens

Juliana van Stolberglaan 4-10 2595 CL Den Haag Postbus 93374 2509 AJ Den Haag telefoon

070 888 85 00

fax

070 888 85 01

e - mail

[email protected]

internet

www.cbpweb.nl

www.mijnprivacy.nl

jaarverslag 2007

Jaarverslag in vogelvlucht

Recommend Documents